“Il 13 aprile 2021, SAP Security Patch Day ha visto il rilascio di 14 Note sulla sicurezza,"Il più pericoloso dei quali riguarda il suo prodotto Business Client.
Il bug di SAP Business Client
La vulnerabilità risiede nel prodotto del client aziendale, che è un'interfaccia utente che funge da punto di ingresso per più applicazioni aziendali SAP. È interessante notare che il problema si trova nel controllo del browser basato su Chromium, non nell'app stessa. I dettagli tecnici sul difetto non sono disponibili; finora, l'unica cosa nota è che è valutato 10 su 10 in termini di gravità.
CVE-2021-27602
Un'altra vulnerabilità risolta nel set di patch di questo mese è CVE-2021-27602, un bug nell'app Backoffice di SAP:
SAP Commerce, Versioni – 1808, 1811, 1905, 2005, 2011, L'applicazione Backoffice consente a determinati utenti autorizzati di creare regole di origine che vengono tradotte in regole di sbavatura quando pubblicate su determinati moduli all'interno dell'applicazione. Un utente malintenzionato con questa autorizzazione può iniettare codice dannoso nelle regole di origine ed eseguire l'esecuzione di codice in modalità remota consentendo loro di comprometterne la riservatezza, integrità e disponibilità dell'applicazione, secondo la descrizione fornita dal National Vulnerability Database.
CVE-2021-21481
L'azienda ha anche risolto un problema di sicurezza nel suo prodotto NetWeaver, identificato come CVE-2021-21481:
Il MigrationService, che fa parte delle versioni di SAP NetWeaver 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, non esegue un controllo di autorizzazione. Ciò potrebbe consentire a un utente malintenzionato non autorizzato di accedere agli oggetti di configurazione, compresi quelli che concedono privilegi amministrativi. Ciò potrebbe comportare una completa compromissione della riservatezza del sistema, integrità, e disponibilità.
Anche il CVE-2021-21481 è abbastanza severo, con un punteggio di 9.6 su 10.
Il resto delle patch rilasciate questa settimana risolvono diversi difetti di media gravità. Più vulnerabilità nello stesso prodotto possono essere risolte da una singola nota di sicurezza, SAP ha detto.
Gli hacker che sfruttano i bug nelle app mission-critical di SAP
All'inizio di questo mese, abbiamo segnalato hacker che sfruttano diverse vulnerabilità di sicurezza in popolari applicazioni SAP mission-critical. Le vulnerabilità hanno consentito il pieno controllo e danno accesso alle organizzazioni vulnerabili prese di mira. L'azienda ha sottolineato che la mancanza di mitigazioni tempestive in molte organizzazioni di solito lascia aperta una finestra di exploit per gli aggressori. Pertanto, l'applicazione di tutte le patch di sicurezza una volta che sono rese disponibili dovrebbe avere la massima priorità da tutte le entità interessate.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: