Spoločnosť SAP vydala februárové záplaty – opravuje 19 zraniteľností

Spoločnosť SAP opravila 19 zraniteľností, pričom CVSS skóre sa pohybuje od 3,7 po 10. Tri kritické zraniteľnosti súvisia s knižnicou Apache Log4j v2. Ďalšie tri zraniteľnosti nazývané ICMAD objavila spoločnosť Onapsis a ovplyvňujú podnikové aplikácie SAP používajúce ICM (Internet Communication Manager).

Opis činnosti

CVE-2021-45046, CVE-2021-45105, CVE-2021-44228, CVE-2022-22536, CVE-2022-22532, CVE-2022-22533, CVE-2022-22544

Spoločnosť SAP vydala 8. februára bezpečnostné aktualizácie opravujúce 19 zraniteľností. Súčasťou týchto záplat je oprava niekoľkých kritických a závažných zraniteľností.

Tri z opravených zraniteľností (CVE-2021-45046, CVE-2021-45105 a CVE-2021-44228) súvisia s Apache Log4j v2 a dosahujú CVSS skóre 10. Zneužitím môže dôjsť k vzdialenému vykonaniu kódu.

Ďalšie 3 zraniteľnosti boli objavené spoločnosťou Onapsis, pričom sa jedná o súbor závažných bezpečnostných nedostatkov nazývaných ICMAD (Internet Communication Manager Advanced Desync). Ovplyvnené sú podnikové aplikácie používajúce ICM (Internet Communication Manager). Jedná sa konkrétne o nasledovné zraniteľnosti:

  • CVE-2022-22536 (CVSS 10) – môže byť zneužitá na kompromitáciu akejkoľvek Java alebo ABAP aplikácie založenej na SAP NetWeaver s predvolenými konfiguráciami. Zraniteľnosť je zneužiteľná, keď sa medzi klientmi a backendovým SAP nachádza HTTP(s) proxy.
  • CVE-2022-22532 (CVSSv3 9,8) – neoverený útočník by mohol odoslať požiadavku na HTTP server, ktorá spustí nesprávne spracovanie vyrovnávacej pamäte zdieľanej pamäte, čo môže viesť k možnosti vydávať sa za obeť alebo dokonca ku krádeži prihlasovacej relácie obete.
  • CVE-2022-22533 (CVSSv3 7,5) – útočník by mohol odoslať viacero požiadaviek na HTTP server, ktoré by viedli k chybám, ktoré by spotrebovali vyrovnávaciu pamäť, čo môže viesť k vypnutiu systému, a teda k jeho nedostupnosti.

Zraniteľnosti ICMAD sú chyby súvisiace s poškodením pamäte. Umožňujú vykonávať škodlivú aktivitu na používateľoch SAP, obchodných informáciách a procesoch.

Ďalšia kritická zraniteľnosť CVE-2022-22544 (CVSS 9,1) vyskytujúca sa v produkte SAP Solution Manager (Diagnostics Root Cause Analysis Tools) umožňuje administrátorovi vykonávať kód na všetkých pripojených diagnostických agentoch a prehliadať súbory v systémoch. Zneužitím môže dôjsť k úniku citlivých informácií alebo narušeniu dostupnosti služby.

Zraniteľné systémy

Celý zoznam zraniteľností a zraniteľných produktov spoločnosti SAP nájdete na tomto webe.

Závažnosť zraniteľnosti

Vysoká

Možné škody

  • Vzdialené vykonanie kódu
  • Únik informácií
  • Kompromitácia Java alebo ABAP aplikácie
  • Kompromitácia dôvernosti, dostupnosti a integrity systému
  • Nedostupnosť alebo vypnutie systému
  • Impersonácia obete

Odporúčania

Odporúčame Vám aplikovať bezpečnostné aktualizácie na zraniteľných systémoch v čo najkratšom čase. Bezpečnostní výskumníci z Onapsis vydali open source nástroj, pomocou ktorého si viete skontrolovať či je Váš systém zraniteľný.

Odkazy

https://nvd.nist.gov/vuln/detail/CVE-2022-22536

https://nvd.nist.gov/vuln/detail/CVE-2022-22532

https://nvd.nist.gov/vuln/detail/CVE-2022-22533

https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

https://www.securityweek.com/sap-customers-warned-about-critical-icmad-vulnerabilities

https://therecord.media/cisa-and-sap-warn-about-major-vulnerability/

https://www.zdnet.com/article/sap-releases-patches-for-icmad-vulnerabilities/

https://threatpost.com/sap-patches-severe-icmad-bugs/178344/

https://www.cisa.gov/uscert/ncas/current-activity/2022/02/08/critical-vulnerabilities-affecting-sap-applications-employing

https://onapsis.com/blog/icmad-critical-vulnerabilities-sap-business-applications-require-immediate-attention