Критические «дыры» в SAP позволяют обходить аутентификацию, компрометировать систему и подделывать серверные запросы
Кумулятивный патч устраняет 17 уязвимостей в продуктах SAP, от двух критических до четырех высокоопасных (7-8 баллов CVSS).
Вход без стука
Компания SAP выпустила кумулятивный патч к 17 уязвимостям в своих продуктах. Исправлена, в том числе, критическая уязвимость, которая позволяла злоумышленникам обходить аутентификацию и полностью скомпрометировать систему. «Баг» под индексом CVE-2024-41730 получил оценку 9,8 балла по шкале CVSS.
Данная уязвимость непосредственно затрагивает платформу SAP BusinessObjects Business Intelligence Platform версий 430 и 440. Ее эксплуатация возможна при условии, что активен режим Single Signed On для корпоративной аутентификации. Неавторизованный в системе пользователь может воспользоваться токеном входа и получить неограниченный доступ к данным внутри платформы.
Исправлена и еще одна критическая (9,1 балла по шкале CVSS) ошибка – CVE-2024-29415. Эта проблема открывает возможность для подделки серверных запросов (server-side request forgery) в приложениях, построенных с помощью SAP Build Apps любой версии до 4.11.130.
Уязвимость непосредственно присутствует в пакете IP для Node.js, который осуществляет проверку статуса IP-адреса – является ли он публичным или приватным. При использовании восьмеричного представления адрес 127.0.0.1 ошибочно распознается как публичный и глобально маршрутизируемый адрес. Сама по себе эта уязвимость возникла из-за того, что сходная проблема («баг» CVE-2023-42282) не была исправлена в полной мере.
Степень угрозы: высокая
Последний бюллетень SAP обозначает еще четыре уязвимости как высокоопасные.
CVE-2024-42374 – проблема внедрения XML в веб-службе SAP BEx Web Java Runtime Export. Она затрагивает версии BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 и BIWEBAPP 7.5. Уязвимость оценивается в 8,2 балла CVSS.
CVE-2023-30533 – ошибка, связанная с «загрязнением прототипа» в SAP S/4 HANA, в частности в модуле Manage Supply Protection. «Баг» затрагивает версии библиотеки SheetJS CE ниже 0.19.3. Оценка по шкале CVSS – 7,8 балла.
CVE-2024-34688 – DoS-уязвимость в SAP NetWeaver AS Java. Затрагивает версию компонента Meta Model Repository MMR_SERVER 7.5. Оценка по шкале CVSS – 7,5 балла.
CVE-2024-33003 – уязвимость, связанная с проблемой раскрытия информации в SAP Commerce Cloud. Затрагивает версии HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 и COM_CLOUD 2211. Оценка по шкале CVSS – 7,4 балла.
«Такое изобилие критических и высокоопасных ошибок, исправленных в последних обновлениях, требует скорейшего реагирования, – комментирует Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Учитывая, что информация о них обнародована, попыток эксплуатации можно ожидать в самое ближайшее время. Возможно, они уже начались».
Как указывается в материале издания Bleeping Computer, SAP – крупнейший ERP-вендор в мире, им пользуются 90% компаний из списка Forbes Global 2000. Это означает, что его продукты пользуются у хакеров особым вниманием, и нередко действительно эксплуатируются для осуществления кибератак на корпоративные сети.