Σε μια προσπάθεια να μειώσει τους κινδύνους που σχετίζονται με 19 ευπάθειες, πέντε από τις οποίες έχουν χαρακτηριστεί ως κρίσιμες, η SAP κυκλοφόρησε μια σειρά από ενημερώσεις ασφαλείας. Αυτές θα πρέπει να εφαρμοστούν άμεσα από τους διαχειριστές για μέγιστη προστασία, το συντομότερο δυνατό.
Δείτε επίσης: Η Fortinet προειδοποιεί για νέα κρίσιμη ευπάθεια
Αυτόν τον μήνα, διορθώθηκαν ορισμένα ζητήματα που επηρέασαν πολλά προϊόντα. Ωστόσο, τα πιο πιεστικά και κρίσιμα σφάλματα αφορούσαν την πλατφόρμα επιχειρηματικής ευφυΐας SAP Business Objects (CMC) καθώς και το SAP NetWeaver.
Πιο συγκεκριμένα, αυτός ο γύρος ενημερώσεων αντιμετωπίζει τις ακόλουθες πέντε ευπάθειες:
- CVE-2023-25616: Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτή την ευπάθεια έγχυσης κώδικα κρίσιμης σοβαρότητας (CVSS v3: 9.9) στην πλατφόρμα SAP Business Intelligence Platform, δίνοντάς του πρόσβαση σε πόρους που κανονικά είναι διαθέσιμοι μόνο σε προνομιούχους χρήστες. Οι εκδόσεις 420 και 430 είναι και οι δύο ευαίσθητες στο σφάλμα.
- CVE-2023-23857: Μια ευπάθεια κρίσιμης σοβαρότητας (CVSS v3: 9.8), με δυνατότητα αποκάλυψης πληροφοριών, χειραγώγησης δεδομένων και επιθέσεων άρνησης παροχής υπηρεσιών, εντοπίστηκε στο SAP NetWeaver AS for Java έκδοση 7.50. Αυτό το σφάλμα δίνει τη δυνατότητα σε έναν εισβολέα που δεν έχει πιστοποιηθεί να επιτύχει μη εξουσιοδοτημένες λειτουργίες με τη σύνδεση σε μια προσβάσιμη διεπαφή και τη χρήση του API καταλόγου για υπηρεσίες.
- CVE-2023-27269: Πρόβλημα διέλευσης καταλόγου κρίσιμης σοβαρότητας (CVSS v3: 9.6) που επηρεάζει το SAP NetWeaver Application Server για ABAP. Το ελάττωμα επιτρέπει σε έναν χρήστη που δεν είναι διαχειριστής να αντικαταστήσει τα αρχεία συστήματος. Επηρεάζει τις εκδόσεις 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 και 791.
Δείτε ακόμα: Ευπάθειες της TPM 2.0 βάζουν σε κίνδυνο cryptographic keys!
- CVE-2023-27500: Διέλευση καταλόγου κρίσιμης σοβαρότητας (CVSS v3: 9.6) στο SAP NetWeaver AS για ABAP. Ένας εισβολέας μπορεί να εκμεταλλευτεί το ελάττωμα του SAPRSBRO για να αντικαταστήσει τα αρχεία συστήματος, προκαλώντας ζημιά στο ευάλωτο τελικό σημείο. Impacts εκδόσεις 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757.
- CVE-2023-25617: Κρίσιμης σοβαρότητας (CVSS v3: 9.0) ευπάθεια εκτέλεσης εντολών στο SAP Business Objects Business Intelligence Platform, εκδόσεις 420 και 430. Το ελάττωμα επιτρέπει σε έναν απομακρυσμένο εισβολέα να εκτελεί αυθαίρετες εντολές στο λειτουργικό σύστημα χρησιμοποιώντας το BI Launchpad, την Κεντρική Κονσόλα Διαχείρισης ή μια προσαρμοσμένη εφαρμογή που βασίζεται στο δημόσιο SDK της Java, υπό ορισμένες προϋποθέσεις.
Εκτός από τα παραπάνω, η μηνιαία ενημέρωση κώδικα ασφαλείας της SAP διόρθωσε τέσσερα ελαττώματα υψηλής σοβαρότητας και δέκα ευπάθειες μέσης σοβαρότητας.
Τα κενά ασφαλείας στις προσφορές προϊόντων της SAP τα καθιστούν εξαιρετικά ελκυστικά για κακόβουλους παράγοντες, καθώς χρησιμοποιούνται ευρέως από μεγάλες εταιρείες σε όλο τον κόσμο – παρέχοντας μια άμεση πρόσβαση σε συστήματα υψηλής αξίας.
Κατέχοντας το 24% του παγκόσμιου μεριδίου της αγοράς ERP, η SAP κυριαρχεί με 425.000 πελάτες σε 180 χώρες. Διαθέτοντας ένα εντυπωσιακό ποσοστό χρήσης 90% μεταξύ των Forbes Global 2000, τα προϊόντα ERP, SCM, PLM και CRM έχουν γίνει απαραίτητα.
Δείτε επίσης: Η Aruba Networks διορθώνει έξι κρίσιμες ευπάθειες στο ArubaOS
Τον Φεβρουάριο του 2022, ο αμερικανικός Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) επέμεινε ότι οι διαχειριστές πρέπει να επιδιορθώσουν μια σειρά σοβαρών ευπαθειών που επηρεάζουν τις επιχειρηματικές εφαρμογές SAP για να αποτρέψουν πιθανή κλοπή δεδομένων, επιθέσεις ransomware, καθώς και διακοπή βασικών διαδικασιών και λειτουργιών. Τον Απρίλιο του 2021, κακόβουλοι φορείς εκμεταλλεύτηκαν γνωστές ευπάθειες σε μη ενημερωμένα συστήματα SAP ως μέσο διείσδυσης σε εταιρικά δίκτυα.
Ως κορυφαίος προμηθευτής λογισμικού, η SAP διαδραματίζει κρίσιμο ρόλο στη διαμόρφωση της εξέλιξης των επιχειρηματικών διαδικασιών σε όλο τον κόσμο. Με καινοτόμες λύσεις, παγκόσμια παρουσία και ένα πελατολόγιο Fortune 500 πελατών, η SAP συνεχίζει να καθορίζει το τοπίο του λογισμικού επιχειρηματικών εφαρμογών.
