Источник: bleepingcomputer.com Поставщик корпоративного программного обеспечения SAP выпустил обновления безопасности за апрель 2023 года для нескольких своих продуктов, которые включают исправления 2 уязвимостей критической серьёзности, затрагивающих Diagnostics Agent и BusinessObjects Business Intelligence Platform.
Всего SAP выпустила 24 бюллетеня, 19 из которых касаются новых проблем разной степени важности, а 5 являются обновлениями предыдущих бюллетеней, информирует ServerMon.ru.
На этот раз исправлены 3 наиболее актуальные проблемы:
CVE-2023-27267: Недостаточная проверка ввода и отсутствие аутентификации влияют на мост OSCommand в Diagnostics Agent, версия 720, что позволяет злоумышленнику выполнить сценарии на подключенных агентах и полностью скомпрометировать систему (оценка CVSS v3.1: 9.0). CVE-2023-28765: Уязвимость раскрытия информации в SAP BusinessObjects Business Intelligence Platform (Управление продвижением), версии 420 и 430, позволяющая злоумышленнику с базовыми привилегиями получить доступ к файлу lcmbiar и расшифровать его.
Это позволит злоумышленнику получить доступ к паролям пользователей платформы и завладеть их учетными записями для выполнения дополнительных вредоносных действий (оценка CVSS v3.1: 9.8). CVE-2023-29186: Дефект обхода каталога, затрагивающий SAP NetWeaver версий 707, 737, 747 и 757, позволяющий злоумышленнику загружать и перезаписывать файлы на уязвимом сервере SAP (оценка CVSS v3.1: 8,7). Остальные 11 дефектов безопасности, раскрытые в последнем бюллетене безопасности SAP, относятся к уязвимостям низкой и средней степени серьезности.
Хотя такие проблемы обычно не считаются приоритетными для исправления, они все еще используются в атаках, особенно в составе сложных цепочек атак, поэтому о них все же следует позаботиться.
Хакеры всегда находятся в поиске дефектов критической серьезности в широко распространенных продуктах, таких как SAP, которые часто встречаются в крупных корпоративных сетях.
SAP является крупнейшим поставщиком ERP в мире, занимая 24% мирового рынка и имея 425 000 клиентов в 180 странах. Более 90% из списка Forbes Global 2000 используют её продукты ERP, SCM, PLM и CRM.
В феврале 2022 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) призвало сисадминов устранить некоторые серьёзные уязвимости, затрагивающих бизнес-приложения SAP, чтобы предотвратить кражу данных, нападения злоумышленников и сбои важнейших процессов и операций.
В апреле 2021 года были замечены угрозы, которые использовали исправленные недостатки в непропатченных системах SAP для получения доступа к корпоративным сетям.
Поэтому системным администраторам SAP крайне важно как можно скорее применить доступные исправления безопасности.