Gisteren werd een nieuwe kritieke kwetsbaarheid gemeld die het SAP Commerce-platform treft.
CVE-2021-21477 in SAP Commerce Platform
Met CVE-2021-21477 kunnen bedreigingsactoren profiteren van de SAP-toepassing die wordt gebruikt door e-commercebedrijven, wat leidt tot uitvoering van externe code. De fout is van invloed op SAP Commerce-versies 1808, 1811, 1905, 2005, en 2011. De ernstscore is 9.9 op de tien volgens de CVSS-schaal, de impact kritisch maken. Het is zeer aan te raden om de kwetsbaarheid zo snel mogelijk te beperken.
Hoe werkt de kwetsbaarheid?
Het kan specifieke gebruikers met vereiste rechten toestaan om Drools-regels te bewerken, een motor die de regels voor het platform maakt. Bedrijven gebruiken deze regels om door hun complexe besluitvormingsvariaties te navigeren.
Specifieker, de bug is afkomstig van een bepaalde regel die een ruleContent-attribuut bevat, het verstrekken van scripting-faciliteiten. Door een verkeerde configuratie van de standaard gebruikersrechten die bij SAP Commerce worden geleverd, kunnen gebruikers met lagere rechten en gebruikersgroepen rechten krijgen en de DroolsRule-regel wijzigen.. Deze wijziging kan vervolgens leiden tot onbedoelde toegang tot de bijbehorende scriptingfaciliteiten.
Met andere woorden, een aanvaller met lagere rechten zou in staat kunnen zijn om code in de Drools-regelscripts te injecteren. De injectie van een dergelijke code creëert een uitvoeringsvoorwaarde voor code op afstand, wat zou kunnen leiden tot het compromitteren van de onderliggende host.
Er is een patch voor CVE-2021-21477 beschikbaar, Maar…
Gelukkig, er is al een patch uitgebracht. Echter, de oplossing is slechts gedeeltelijk, omdat het de standaardmachtigingen aanpakt bij het initialiseren van een nieuwe installatie van het platform.
“Voor bestaande installaties van SAP Commerce, aanvullende handmatige herstelstappen zijn vereist. Het goede nieuws is dat voor bestaande installaties, deze handmatige herstelstappen kunnen worden gebruikt als een volledige oplossing voor SAP Commerce-installaties die de nieuwste patchreleases niet tijdig kunnen installeren," toegelicht beveiligingsonderzoeker Thomas Fritsch van Onapsis.
In juli 2020, een ander kritiek beveiligingsprobleem werd gedetecteerd in de SAP NetWeaver-toepassing die een Java-component bevat, de LM-configuratiewizard. De kwetsbaarheid van CVE-2020-6287 werd misbruikt door hackgroepen. Het aantal getroffen bedrijven dat deze software gebruikt, is ongeveer 400,000. Een onafhankelijke beveiligingsaudit wees uit dat die er waren 2,500 SAP-systemen die zijn blootgesteld aan internet en kwetsbaar zijn voor de bug.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: