ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü, aktif sömürü kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna kritik bir SAP güvenlik açığı eklemek için harekete geçti.
Söz konusu sorun, CVSS güvenlik açığı puanlama sisteminde 10.0 olası en yüksek risk puanını alan ve SAP tarafından Şubat 2022 için Salı Yama güncellemelerinin bir parçası olarak ele alınan CVE-2022-22536’dır.
HTTP istek kaçakçılığı güvenlik açığı olarak tanımlanan eksiklik, aşağıdaki ürün sürümlerini etkiler:
- SAP Web Dispatcher (Sürümler – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
- SAP İçerik Sunucusu (Sürüm – 7.53)
- SAP NetWeaver ve ABAP Platformu (Sürümler – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)
CISA bir uyarıda, “Kimliği doğrulanmamış bir saldırgan, bir kurbanın isteğini keyfi verilerle hazırlayabilir, bu da kurbanı taklit eden veya aracı web önbelleklerini zehirleyen işlevlerin yürütülmesine izin verebilir” dedi.
Hatayı keşfeden Onapsis, “Başka herhangi bir geçerli mesajdan ayırt edilemeyen ve herhangi bir kimlik doğrulama gerektirmeyen basit bir HTTP isteği, başarılı bir kullanım için yeterlidir.” “Sonuç olarak, bu, saldırganların bundan yararlanmasını kolaylaştırır ve güvenlik duvarları veya IDS/IPS gibi güvenlik teknolojilerinin bunu algılamasını daha zor hale getirir (kötü amaçlı bir yük sunmadığından).”
Ayrıca ajans, Apple (CVE-2022-32893 ve CVE-2022-32894) ve Google (CVE-2022-2856) tarafından bu hafta açıklanan yeni kusurların yanı sıra daha önce belgelenen Microsoft ile ilgili hataları (CVE-2022-) ekledi. 21971 ve CVE-2022-26923) ve Palo Alto Networks PAN-OS’ta (CVE-2017-15944, CVSS puanı: 9.8) 2017’de açıklanan bir uzaktan kod yürütme güvenlik açığı.
CVE-2022-21971 (CVSS puanı: 7.8), Windows Çalışma Zamanı’nda Microsoft tarafından Şubat 2022’de çözülen bir uzaktan kod yürütme güvenlik açığıdır. Mayıs 2022’de düzeltilen CVE-2022-26923 (CVSS puanı: 8.8), bir ayrıcalıkla ilgilidir. Active Directory Etki Alanı Hizmetlerinde yükseltme hatası.
Microsoft, CVE-2022-26923 danışma belgesinde, “Kimliği doğrulanmış bir kullanıcı, sahip olduğu veya yönettiği bilgisayar hesaplarındaki öznitelikleri değiştirebilir ve Active Directory Sertifika Hizmetleri’nden Sistem’e ayrıcalık yükselmesine izin verecek bir sertifika alabilir.”
CISA bildirimi, geleneksel olarak olduğu gibi, tehdit aktörlerinin bunlardan daha fazla yararlanmasını önlemek için güvenlik açıklarıyla ilişkili vahşi saldırıların teknik ayrıntılarına ışık tutar.
Potansiyel tehditlere maruz kalmayı azaltmak için Federal Sivil Yürütme Şubesi (FCEB) kurumlarının ilgili yamaları 8 Eylül 2022’ye kadar uygulamaları zorunludur.