V produktoch spoločnosti SAP sa nachádzajú 2 kritické zraniteľnosti

Spoločnosť SAP v rámci marcových bezpečnostných aktualizácií opravila 2 kritické zraniteľnosti. Nachádzajú sa v aplikáciách SAP MII a SAP NetWeaver AS Java. Chyby môžu viesť k vzdialenému vykonávaniu kódu a tiež k úplnej kompromitácii zraniteľného systému.

Dôsledky

  • Vzdialené vykonávanie kódu
  • Eskalácia privilégií
  • Injektovanie škodlivého kódu
  • Prístup k SAP databázam
  • Narušenie dostupnosti, dôvernosti a integrity systému
  • Kompromitácia systému

Opis činnosti
CVE-2021-21480, CVE-2021-21481

V rámci marcových bezpečnostných aktualizácií spoločnosť SAP opravila 2 kritické zraniteľnosti v rôznych produktoch.

Prvá opravená kritická zraniteľnosť CVE-2021-21480 sa nachádza v aplikácii SAP Manufacturing Integration and Intelligence (MII). CVSS skóre tejto zraniteľnosti je 9.9. Chyba bola identifikovaná konkrétne v komponente Self-Service Composition Environment (SSCE). Slúži na vytváranie násteniek, ktoré je možné uložiť ako súbory JSP. Útočník je schopný injektovať škodlivý kód do požiadavky na server, ktorý sa vykoná pri otvorení infikovanej nástenky. To môže viesť k vzdialenému vykonávaniu kódu, prípadne eskalácii privilégií. Zneužitie chyby by útočníkovi umožnilo získať prístup k SAP databázam, injektovať malvér, a vykonávať ďalšie formy útokov.

Druhou kritickou zraniteľnosťou je CVE-2021-21481, ktorá sa nachádza v SAP NetWeaver AS Java. V komponente MigrationService chýba kontrola autorizácie. Útočník tak môže získať prístup ku konfiguráciám, napríklad k tým, ktoré udeľujú administrátorské oprávnenia. To môže viesť k úplnému narušeniu dostupnosti, dôvernosti a integrity systému, teda aj úplnej kompromitácii zraniteľného systému. CVSS skóre tejto zraniteľnosti je 9.6.

Zraniteľné systémy

  • SAP MII verzie 15.1, 15.2, 15.3, 15.4
  • Prepínače Nexus série 9000 s NX-OS verzie 9.3(5) alebo 9.3(6)
  • SAP NetWeaver AS JAVA (MigrationService) verzie 7.10, 7.11, 7.30, 7.31, 7.40, 7.50

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Vzdialené vykonávanie kódu

Odporúčania

Odporúčame bezodkladnú aktualizáciu na najnovšie dostupné verzie.

Odkazy
https://www.securityweek.com/sap-patches-critical-flaws-mii-netweaver-products
https://threatpost.com/sap-critical-rce-flaw-manufacturing/164666/
https://thecybersecurity.news/vulnerabilities/sap-stomps-out-critical-rce-flaw-in-manufacturing-software-7015/
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107