Az SAP NetWeaver kritikus hibáit most muszáj javítani

Az SAP szeptemberben összesen 21 új sérülékenységet javított termékeiben, köztük három kiemelten veszélyes hibát a NetWeaver szoftverben. A NetWeaver számos nagyvállalati alkalmazás, például az ERP, a CRM vagy az SCM alapját adja, így sebezhetősége kiemelt kockázatot jelent óriási hálózatokban is.

Parancsvégrehajtás és jogosulatlan hozzáférés

A legkritikusabb hibát 10/10 súlyosságúnak értékelték: egy olyan sebezhetőség, amely lehetővé teszi, hogy egy támadó hitelesítés nélkül tetszőleges parancsokat futtasson a szerveren. Ehhez elegendő egy kártékony Java-objektumot küldeni az RMI-P4 modulon keresztül, egy nyitott porton át. Ezt az RMI-P4 protokollt főként belső SAP-kommunikációra használják, de tűzfalhibák miatt akár az internetről is elérhető lehet.

Fájlfeltöltéses támadások és adatlopás

A második hiba (CVSS 9,9) révén hitelesített, de nem adminisztrátori felhasználók képesek tetszőleges fájlokat feltölteni a szerverre a Web Service Deploy funkción keresztül – ez akár a teljes rendszer átvételéhez is vezethet. A harmadik rés a jogosultság-ellenőrzés hiányából fakad (CVSS 9,1): itt illetéktelen, magas jogosultságú felhasználók érzékeny adatokat nézhetnek meg, módosíthatnak vagy törölhetnek.

További veszélyes sebezhetőségek

A Business One (SAP Business One) és az SLT Replication Server is kapott javítást adatlopás, illetve manipuláció ellen, az S/4HANA pedig a hiányos bemeneti ellenőrzés miatt volt érintett. A világ legnagyobb vállalatainak tízezrei használják az SAP rendszereket, így ezek a hibák jelentős támadási felületet biztosítanak a bűnözőknek.

Intézkedést igényel

A hónap elején egy kódinjektálási hibát is felfedeztek az S/4HANA-ban, a Business One-ban és a NetWeaverben, ami újabb súlyos kockázatot jelent. A rendszergazdáknak azonnal telepíteniük kell a javításokat a biztonság érdekében, hiszen a frissítések elérhetők az SAP ügyfelek számára.

2025, adrienne, www.bleepingcomputer.com alapján