SAP, Ağustos 2024’e yönelik güvenlik yama paketini yayınladı ve uzaktaki saldırganların sistemi tamamen tehlikeye atmasına olanak tanıyabilecek kritik bir kimlik doğrulama atlatması da dahil olmak üzere 17 güvenlik açığını giderdi.
Kusur, izlendi CVE-2024-41730 ve CVSS v3.1 sistemine göre 9.8 olarak derecelendirilen, SAP BusinessObjects Business Intelligence Platform 430 ve 440 sürümlerini etkileyen bir “kimlik doğrulama denetimi eksikliği” hatasıdır ve belirli koşullar altında istismar edilebilir.
Tedarikçinin kusura ilişkin açıklamasında, “SAP BusinessObjects Business Intelligence Platform’da, Kurumsal kimlik doğrulamasında Tek Oturum Açma etkinleştirilmişse, yetkisiz bir kullanıcı REST uç noktasını kullanarak bir oturum açma belirteci alabilir” ifadeleri yer alıyor.
“Saldırgan, sistemin gizliliğini, bütünlüğünü ve kullanılabilirliğini yüksek oranda etkileyecek şekilde sistemi tamamen tehlikeye atabilir.”
Bu sefer ele alınan ikinci kritik (CVSS v3.1 puanı: 9.1) güvenlik açığı ise; CVE-2024-294154.11.130 sürümünden daha eski SAP Build Apps ile oluşturulmuş uygulamalarda sunucu taraflı istek sahteciliği açığı.
Kusur, bir IP adresinin genel mi yoksa özel mi olduğunu kontrol eden Node.js için ‘IP’ paketindeki bir zayıflıkla ilgilidir. Sekizli gösterim kullanıldığında, ‘127.0.0.1’i genel ve küresel olarak yönlendirilebilir bir adres olarak yanlış bir şekilde tanır.
Bu kusur, CVE-2023-42282 olarak izlenen benzer bir sorun için eksik bir düzeltmeden dolayı ortaya çıkıyor ve bu da bazı durumları saldırılara karşı savunmasız hale getiriyor.
SAP’nin bu ayki bülteninde listelenen kalan düzeltmelerden “yüksek öneme sahip” (CVSS v3.1 puanı: 7,4 ila 8,2) olarak kategorize edilen dört tanesi aşağıdaki gibi özetlenmiştir:
- CVE-2024-42374 – SAP BEx Web Java Runtime Export Web Service’de XML enjeksiyon sorunu. BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 ve BIWEBAPP 7.5 sürümlerini etkiler.
- CVE-2023-30533 – SAP S/4 HANA’da prototip kirliliğiyle ilgili kusur, özellikle Tedarik Korumasını Yönet modülünde, 0.19.3’ün altındaki SheetJS CE kütüphane sürümlerini etkiliyor.
- CVE-2024-34688 – SAP NetWeaver AS Java’da özellikle Meta Model Deposu bileşeni sürümü MMR_SERVER 7.5’i etkileyen Hizmet Reddi (DOS) güvenlik açığı.
- CVE-2024-33003 – SAP Commerce Cloud’daki bilgi ifşa sorununa ilişkin güvenlik açığı, HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 ve COM_CLOUD 2211 sürümlerini etkiliyor.
Güncellemeleri şimdi uygula
SAP dünyanın en büyük ERP tedarikçisi konumunda ve ürünleri Forbes Global 2000 listesinin %90’ından fazlasında kullanılıyor. Bu nedenle, bilgisayar korsanları son derece değerli kurumsal ağlara erişmelerini sağlayacak kritik kimlik doğrulama atlama açıklarını sürekli arıyor.
Şubat 2022’de ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), yöneticilere veri hırsızlığını, fidye yazılımlarını ve kritik görev operasyonlarındaki kesintileri önlemek için SAP iş uygulamalarındaki ciddi güvenlik açıklarını kapatmaları çağrısında bulundu.
Tehdit aktörleri, Haziran 2020 ile Mart 2021 arasında en az 300 vakada, yama uygulanmamış SAP sistemlerini kullanarak kurumsal ağlara sızdı.