ABAP olarak SAP NetWeaver Uygulama Sunucusunda kritik bir güvenlik açığı, 9.6’ya yakın bir CVSS puanı taşıyan SAP Security Note #3600840 kapsamında açıklanmıştır.
Uzak Fonksiyon Çağrısı (RFC) çerçevesinde eksik bir yetkilendirme kontrolüne dayanan bu kusur, sistem bütünlüğü ve kullanılabilirliği için ciddi bir risk oluşturur.
Kimliği doğrulanmış saldırganlar, işlem (TRFC) veya sıraya alınan RFC’leri (QRFC) kullanırken S_RFC nesnesindeki standart yetkilendirme kontrollerini atlamak için belirli koşullar altında bu güvenlik açığını kullanabilir.
.png
)
Bu tür bir sömürü, kritik sistem işlevlerine yetkisiz erişim sağlayarak ayrıcalık artışını sağlar.
RFC çerçevesinde kritik kusur
Potansiyel etki felakettir, çünkü saldırganlar uygulama verilerini manipüle edebilir veya hizmetleri tamamen bozabilir.
SAP, hemen yama yapmayı önerir ve yazma sonrası, ek S_RFC izinlerinin belirli kullanıcılara atanması gerekebileceğini vurgular.
SAP Note #3601919’daki eşlik eden SSS, etkilenen kullanıcıların tanımlanması ve Profil Parametresi RFC/AuthCheckInkInplayback ile 1 olarak ayarlanan geliştirilmiş kontrolleri etkinleştirme konusunda ayrıntılı rehberlik sağlar.
Bu kritik sorunun ötesinde, SAP’nin Haziran Yama Günü, güçlü güvenlik güncellemeleri için aciliyetin altını çizerek çok sayıda yüksek şiddetli güvenlik açıklarına hitap ediyor.
SAP Güvenlik Notu #3604119, 9.1 CVSS puanı ile, #3594142 gibi önceki yamalara bakılmaksızın zorunlu uygulamayı vurgulayarak SAP Visual Composer için önceki kritik bir yamaya metin güncellemesi görevi görür.
Bu arada, SAP Security Not #3609271 (CVSS 8.8), SAP GRC’de düşük ayrıcalıklı kullanıcıların sistem kimlik bilgilerini manipüle etmesine, gizlilik ve bütünlüğü riske atmasına izin verebilecek savunmasız bir raporu devre dışı bırakır.
Yüksek öncelikli yamalar dikkat gerektirir
Başka bir yüksek öncelikli düzeltme olan SAP Security Note #3606484 (CVSS 8.5), SAP Business deposunda ve SAP eklentisinde eksik bir yetkilendirme kontrolünü çözerek, veritabanı tablolarının uzaktan özellikli bir fonksiyon modülü aracılığıyla yetkisiz olarak silinmesini önler.
Ek olarak, SAP BusinessObjects BI çalışma alanında (SAP Not #3560693, CVSS 8.2) (SAP Note #3610591, CVSS 7.6) SAP ortamlarını hedefleyen çeşitli saldırı vektörlerini vurgulamaktadır.
Bu kusurlar, istismar edilirse, yetkisiz komut dosyası yürütülmesine veya hassas dosyalara erişime yol açabilir ve sistem güvenliğinden daha da ödün verebilir.
Haziran yama günü ayrıca SAP Master Veri Yönetimi Sunucusu için yamaları (SAP Not #3610006, CVSS 7.5), SAP NetWeaver’da ABAP olarak ek XSS güvenlik açıklarını tanımlamada ve düzeltmede onapsis araştırma laboratuvarlarından katkıların yanı sıra, bellek bozulması ve güvensiz oturum yönetimi sorunlarını ele alan yamaları içerir (SAP Note #3590887, CVS 5.8).
Rapora göre, yeni bir HotNews ve beş yüksek öncelikli güncelleme de dahil olmak üzere on dokuz güvenlik notu ile bu yama döngüsü oldukça etkilidir.
SAP sistemlerini çalıştıran kuruluşların, bu yamaların, özellikle SAP Security Note #3600840’ın uygulanmasına öncelik vermesi ve sofistike tehditlere karşı kritik iş operasyonlarını korumak için öncelik vermesi şiddetle tavsiye edilir.
Güncellemelerin geciktirilmesi, ortamları önemli istismarlara maruz bırakabilir, bu da hızlı bir eylem sadece önerilmekle kalmaz, aynı zamanda güvenli bir SAP manzarasının sürdürülmesinde gereklidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.