Yazılım satıcısı SAP, beşi kritik olarak derecelendirilen 19 güvenlik açığı için güvenlik güncellemeleri yayınladı; bu, yöneticilerin ilişkili riskleri azaltmak için bunları mümkün olan en kısa sürede uygulamaları gerektiği anlamına gelir.
Bu ay düzeltilen kusurlar birçok ürünü etkiliyor, ancak kritik önemdeki hatalar SAP Business Objects Business Intelligence Platform (CMC) ve SAP NetWeaver’ı etkiliyor.
Daha spesifik olarak, bu sefer düzeltilen beş kusur şunlardır:
- CVE-2023-25616: SAP Business Intelligence Platform’da, bir saldırganın yalnızca ayrıcalıklı kullanıcılara sunulan kaynaklara erişmesine olanak tanıyan, kritik önem derecesine sahip (CVSS v3: 9.9) kod ekleme güvenlik açığı. Kusur, 420 ve 430 sürümlerini etkiler.
- CVE-2023-23857: SAP NetWeaver AS for Java, sürüm 7.50’yi etkileyen kritik önem derecesi (CVSS v3: 9.8) bilgi ifşası, veri manipülasyonu ve DoS kusuru. Hata, kimliği doğrulanmamış bir saldırganın açık bir arayüze bağlanarak ve dizin API’si aracılığıyla hizmetlere erişerek yetkisiz işlemler gerçekleştirmesine olanak tanır.
- CVE-2023-27269: ABAP için SAP NetWeaver Uygulama Sunucusunu etkileyen kritik önem derecesi (CVSS v3: 9.6) dizin geçişi sorunu. Kusur, yönetici olmayan bir kullanıcının sistem dosyalarının üzerine yazmasına izin verir. 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 ve 791 sürümlerini etkiler.
- CVE-2023-27500: ABAP için SAP NetWeaver AS’de kritik önem derecesi (CVSS v3: 9.6) dizin geçişi. Saldırgan, SAPRSBRO’daki kusurdan yararlanarak sistem dosyalarının üzerine yazabilir ve savunmasız uç noktaya zarar verebilir. 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 versiyonlarını etkiler.
- CVE-2023-25617: SAP Business Objects Business Intelligence Platform, sürüm 420 ve 430’da kritik önem derecesi (CVSS v3: 9.0) komut yürütme güvenlik açığı. Açık, uzaktaki bir saldırganın BI Launchpad, Merkezi Yönetim Konsolu veya özel bir yazılım kullanarak işletim sisteminde rasgele komutlar yürütmesine olanak tanır. belirli koşullar altında genel java SDK’sına dayalı uygulama.
Yukarıdakilerin dışında, SAP’nin aylık güvenlik düzeltme eki, dört yüksek önem dereceli kusuru ve on orta dereceli güvenlik açığını düzeltti.
şimdi yama yap
SAP ürünlerindeki güvenlik açıkları, tehdit aktörleri için mükemmel hedeflerdir çünkü dünya çapında büyük kuruluşlar tarafından yaygın olarak kullanılırlar ve son derece değerli sistemlere giriş noktaları olarak hizmet edebilirler.
SAP, 180 ülkede 425.000 müşterisiyle küresel pazar payının %24’üne sahip, dünyanın en büyük ERP satıcısıdır. Forbes Global 2000’in %90’ından fazlası ERP, SCM, PLM ve CRM ürünlerini kullanıyor.
Şubat 2022’de ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), veri hırsızlığını, fidye yazılımı saldırılarını ve görev açısından kritik süreç ve operasyonların kesintiye uğramasını önlemek için yöneticileri SAP iş uygulamalarını etkileyen bir dizi ciddi güvenlik açığını düzeltmeye çağırdı.
Nisan 2021’de tehdit aktörlerinin kurumsal ağlara erişim elde etmek için yama uygulanmamış SAP sistemlerindeki sabit kusurlara saldırdığı gözlemlendi.