Kurumsal yazılım satıcısı SAP, birçok ürünü için SAP Diagnostics Agent ve SAP BusinessObjects Business Intelligence Platform’u etkileyen kritik öneme sahip iki güvenlik açığı için düzeltmeler içeren Nisan 2023 güvenlik güncellemelerini yayınladı.
Toplamda SAP 24 not yayımladı, bunlardan 19’u değişen önemdeki yeni sorunlarla ilgili ve beşi önceki bültenlerin güncellemeleri.
Bu sefer düzeltilen en kritik üç sorun:
- CVE-2023-27267: SAP Diagnostics Agent, sürüm 720’nin OSCommand Köprüsü’nü etkileyen yetersiz giriş doğrulaması ve eksik kimlik doğrulama sorunu, bir saldırganın bağlı aracılar üzerinde komut dosyaları yürütmesine ve sistemi tamamen tehlikeye atmasına olanak tanır. (CVSS v3.1 puanı: 9.0)
- CVE-2023-28765: SAP BusinessObjects Business Intelligence Platform (Promosyon Yönetimi), sürüm 420 ve 430’u etkileyen, temel ayrıcalıklara sahip bir saldırganın lcmbiar dosyasına erişmesine ve şifresini çözmesine olanak tanıyan bilgilerin açığa çıkması güvenlik açığı. Bu, saldırganın platform kullanıcılarının parolalarına erişmesini ve ek kötü amaçlı eylemler gerçekleştirmek için hesaplarını ele geçirmesini sağlar. (CVSS v3.1 puanı: 9.8)
- CVE-2023-29186: SAP NetWeaver sürüm 707, 737, 747 ve 757’yi etkileyen, bir saldırganın savunmasız SAP sunucusuna dosya yüklemesine ve dosyaların üzerine yazmasına olanak tanıyan dizin geçiş kusuru. (CVSS v3.1 puanı: 8.7)
SAP’nin en son güvenlik bülteninde açıklanan geri kalan 11 güvenlik açığı, düşük ila orta önem derecesindeki güvenlik açıklarıyla ilgilidir.
Bu tür sorunlar genellikle yama için bir öncelik olarak kabul edilmese de, özellikle karmaşık saldırı zincirlerinin bir parçası olarak saldırılarda hala kullanılmaktadır, bu nedenle yine de ilgilenilmeleri gerekir.
Hızlı yama önemli
Bilgisayar korsanları, büyük kurumsal ağlarda yaygın olarak kullanılan SAP gibi geniş çapta dağıtılan ürünlerde her zaman kritik önemdeki kusurları ararlar.
SAP, 180 ülkede 425.000 müşterisiyle küresel pazar payının %24’üne sahip, dünyanın en büyük ERP satıcısıdır. Forbes Global 2000’in %90’ından fazlası ERP, SCM, PLM ve CRM ürünlerini kullanıyor.
Şubat 2022’de ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), veri hırsızlığını, fidye yazılımı saldırılarını ve görev açısından kritik süreç ve operasyonların kesintiye uğramasını önlemek için yöneticileri SAP iş uygulamalarını etkileyen bir dizi ciddi güvenlik açığını düzeltmeye çağırdı.
Nisan 2021’de tehdit aktörlerinin kurumsal ağlara erişim elde etmek için yama uygulanmamış SAP sistemlerindeki sabit kusurlara saldırdığı gözlemlendi.
Bu nedenle, SAP sistem yöneticilerinin mevcut güvenlik yamalarını mümkün olan en kısa sürede uygulamaları çok önemlidir.