Spoločnosť SAP vydala februárové záplaty – opravuje 19 zraniteľností
Spoločnosť SAP opravila 19 zraniteľností, pričom CVSS skóre sa pohybuje od 3,7 po 10. Tri kritické zraniteľnosti súvisia s knižnicou Apache Log4j v2. Ďalšie tri zraniteľnosti nazývané ICMAD objavila spoločnosť Onapsis a ovplyvňujú podnikové aplikácie SAP používajúce ICM (Internet Communication Manager).
Opis činnosti
CVE-2021-45046, CVE-2021-45105, CVE-2021-44228, CVE-2022-22536, CVE-2022-22532, CVE-2022-22533, CVE-2022-22544
Spoločnosť SAP vydala 8. februára bezpečnostné aktualizácie opravujúce 19 zraniteľností. Súčasťou týchto záplat je oprava niekoľkých kritických a závažných zraniteľností.
Tri z opravených zraniteľností (CVE-2021-45046, CVE-2021-45105 a CVE-2021-44228) súvisia s Apache Log4j v2 a dosahujú CVSS skóre 10. Zneužitím môže dôjsť k vzdialenému vykonaniu kódu.
Ďalšie 3 zraniteľnosti boli objavené spoločnosťou Onapsis, pričom sa jedná o súbor závažných bezpečnostných nedostatkov nazývaných ICMAD (Internet Communication Manager Advanced Desync). Ovplyvnené sú podnikové aplikácie používajúce ICM (Internet Communication Manager). Jedná sa konkrétne o nasledovné zraniteľnosti:
- CVE-2022-22536 (CVSS 10) – môže byť zneužitá na kompromitáciu akejkoľvek Java alebo ABAP aplikácie založenej na SAP NetWeaver s predvolenými konfiguráciami. Zraniteľnosť je zneužiteľná, keď sa medzi klientmi a backendovým SAP nachádza HTTP(s) proxy.
- CVE-2022-22532 (CVSSv3 9,8) – neoverený útočník by mohol odoslať požiadavku na HTTP server, ktorá spustí nesprávne spracovanie vyrovnávacej pamäte zdieľanej pamäte, čo môže viesť k možnosti vydávať sa za obeť alebo dokonca ku krádeži prihlasovacej relácie obete.
- CVE-2022-22533 (CVSSv3 7,5) – útočník by mohol odoslať viacero požiadaviek na HTTP server, ktoré by viedli k chybám, ktoré by spotrebovali vyrovnávaciu pamäť, čo môže viesť k vypnutiu systému, a teda k jeho nedostupnosti.
Zraniteľnosti ICMAD sú chyby súvisiace s poškodením pamäte. Umožňujú vykonávať škodlivú aktivitu na používateľoch SAP, obchodných informáciách a procesoch.
Ďalšia kritická zraniteľnosť CVE-2022-22544 (CVSS 9,1) vyskytujúca sa v produkte SAP Solution Manager (Diagnostics Root Cause Analysis Tools) umožňuje administrátorovi vykonávať kód na všetkých pripojených diagnostických agentoch a prehliadať súbory v systémoch. Zneužitím môže dôjsť k úniku citlivých informácií alebo narušeniu dostupnosti služby.
Zraniteľné systémy
Celý zoznam zraniteľností a zraniteľných produktov spoločnosti SAP nájdete na tomto webe.
Závažnosť zraniteľnosti
Vysoká
Možné škody
- Vzdialené vykonanie kódu
- Únik informácií
- Kompromitácia Java alebo ABAP aplikácie
- Kompromitácia dôvernosti, dostupnosti a integrity systému
- Nedostupnosť alebo vypnutie systému
- Impersonácia obete
Odporúčania
Odporúčame Vám aplikovať bezpečnostné aktualizácie na zraniteľných systémoch v čo najkratšom čase. Bezpečnostní výskumníci z Onapsis vydali open source nástroj, pomocou ktorého si viete skontrolovať či je Váš systém zraniteľný.
Odkazy
https://nvd.nist.gov/vuln/detail/CVE-2022-22536
https://nvd.nist.gov/vuln/detail/CVE-2022-22532
https://nvd.nist.gov/vuln/detail/CVE-2022-22533
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022
https://www.securityweek.com/sap-customers-warned-about-critical-icmad-vulnerabilities
https://therecord.media/cisa-and-sap-warn-about-major-vulnerability/
https://www.zdnet.com/article/sap-releases-patches-for-icmad-vulnerabilities/
https://threatpost.com/sap-patches-severe-icmad-bugs/178344/