Uma nova vulnerabilidade crítica que afeta a plataforma SAP Commerce foi relatada ontem.
CVE-2021-21477 na plataforma SAP Commerce
CVE-2021-21477 pode permitir que os agentes da ameaça aproveitem o aplicativo SAP usado por empresas de comércio eletrônico, levando à execução remota de código. A falha afeta as versões do SAP Commerce 1808, 1811, 1905, 2005, e 2011. Sua pontuação de gravidade é 9.9 em dez de acordo com a escala CVSS, tornando o impacto crítico. Mitigar a vulnerabilidade o mais rápido possível é altamente recomendável.
Como funciona a vulnerabilidade?
Pode permitir que usuários específicos com privilégios necessários editem regras do Drools, um motor que cria as regras para a plataforma. As empresas usam essas regras para navegar em suas variações complexas de tomada de decisão.
Mais especificamente, o bug se origina de uma certa regra que contém um atributo ruleContent, fornecendo recursos de script. Uma configuração incorreta das permissões de usuário padrão enviadas com o SAP Commerce pode permitir que usuários com privilégios inferiores e grupos de usuários obtenham permissões e alterem o DroolsRule ruleContents. Essa alteração pode, então, levar a acesso não intencional aos recursos de script correspondentes.
Em outras palavras, um invasor com privilégios mais baixos pode ser capaz de injetar código nos scripts de regras do Drools. A injeção de tal código cria uma condição de execução remota de código, o que pode levar ao comprometimento do host subjacente.
Um patch para CVE-2021-21477 está disponível, Mas…
Felizmente, um patch já foi lançado. Contudo, a correção é apenas parcial, uma vez que aborda as permissões padrão ao inicializar uma nova instalação da plataforma.
“Para instalações existentes do SAP Commerce, etapas adicionais de correção manual são necessárias. A boa notícia é que para instalações existentes, essas etapas de correção manual podem ser usadas como uma solução alternativa completa para instalações do SAP Commerce que não podem instalar as versões de patch mais recentes em tempo hábil,” explicado pesquisador de segurança Thomas Fritsch da Onapsis.
Em julho 2020, outra vulnerabilidade crítica de segurança foi detectada no aplicativo SAP NetWeaver, que contém um componente Java chamado LM Configuration Wizard. A vulnerabilidade CVE-2020-6287 foi abusado por grupos de hackers. O número de empresas afetadas que incluem este software é de cerca 400,000. Uma auditoria de segurança independente revelou que havia 2,500 Sistemas SAP expostos à Internet e vulneráveis ao bug.