Son zamanlarda kritik güvenlik açıklarındaki artış, SAP’yi Ağustos 2024 güvenlik yaması güncellemesini yayınlamaya yöneltti. SAP güncellemesi, saldırganların kimlik doğrulamasını tamamen atlatmasına ve etkilenen sistemlerin tam kontrolünü ele geçirmesine olanak tanıyabilecek 17 yeni güvenlik açığını ele alıyor.
CVE-2024-41730 ve CVE-2024-29415 olarak tanımlanan bu güvenlik açıkları, CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) ölçeğinde sırasıyla 9,8 ve 9,1 olarak derecelendirilerek, ciddi bir istismar riskinin bulunduğunu göstermektedir.
SAP Güncellemesi Ayrıntılı
SAP’nin resmi güvenlik notlarına (Ağustos 2024 güncellemesi) göre, CVE-2024-41730, SAP BusinessObjects Business Intelligence Platform 430 ve 440 sürümlerini etkiler. Bu güvenlik açığı, bir REST uç noktasındaki “eksik kimlik doğrulama kontrolünden” kaynaklanır. Tek Oturum Açma (SSO) etkinleştirilmiş bir sistem istismar edilirse, yetkisiz bir kullanıcı potansiyel olarak geçerli bir oturum açma belirteci elde edebilir ve bu da kendisine sisteme tam erişim hakkı verebilir.
Tedarikçinin kusura ilişkin açıklamasında, “SAP BusinessObjects Business Intelligence Platform’da, Kurumsal kimlik doğrulamasında Tek Oturum Açma etkinleştirilmişse, yetkisiz bir kullanıcı REST uç noktasını kullanarak bir oturum açma belirteci alabilir” ifadeleri yer alıyor.
“Saldırgan, gizlilik, bütünlük ve kullanılabilirlik üzerinde yüksek etki yaratacak şekilde sistemin tamamını tehlikeye atabilir.”
Bu arada, CVE-2024-29415, SAP Build Uygulamaları (4.11.130’dan eski sürümler) ile oluşturulmuş uygulamalar için bir tehdit oluşturmaktadır. Bu güvenlik açığı, sunucu tarafı istek sahteciliği (SSRF) kusuru olarak sınıflandırılır ve Node.js için ‘IP’ paketindeki bir zayıflıktan kaynaklanır. Başarılı bir istismar, saldırganların hedeflenen sistemde keyfi kod yürütmesine ve potansiyel olarak sistemin tamamen ele geçirilmesine yol açabilir.
SAP BusinessObjects Business Intelligence Platform 430 veya 440 sürümlerini veya 4.11.130 sürümünden eski SAP Build Apps ile oluşturulmuş uygulamaları kullanan tüm kuruluşlar risk altındadır. Güvenlik açığını belirlemek için kuruluşunuzda kullanılan bu ürünlerin belirli sürümlerini belirlemek çok önemlidir.
Yüksek Önem Düzeyindeki SAP Güvenlik Açıkları
SAP’nin bu ayki bülteninde listelenen kalan düzeltmelerden, “yüksek öneme sahip” (CVSS v3.1 puanı: 7,4 ila 8,2) olarak kategorize edilen dört tanesi aşağıdaki gibi özetlenmiştir:
- CVE-2024-42374 – SAP BEx Web Java Runtime Export Web Service’de XML enjeksiyon sorunu. BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 ve BIWEBAPP 7.5 sürümlerini etkiler.
- CVE-2023-30533 – SAP S/4 HANA’da, özellikle Tedarik Korumasını Yönet modülünde prototip kirliliğiyle ilgili bir kusur, 0.19.3’ün altındaki SheetJS CE kütüphane sürümlerini etkiliyor.
- CVE-2024-34688 – SAP NetWeaver AS Java’da Hizmet Reddi (DOS) güvenlik açığı, özellikle Meta Model Deposu bileşeni sürümü MMR_SERVER 7.5’i etkiliyor.
- CVE-2024-33003 – SAP Commerce Cloud’daki bir bilgi ifşa sorunuyla ilgili güvenlik açığı, HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 ve COM_CLOUD 2211 sürümlerini etkiliyor.
İşletmeler İçin Öneriler
Sistemlerinizi korumak için şunları yapabilirsiniz:
-
- Hemen Güncelleyin: SAP, her iki güvenlik açığını da gidermek için yamalar yayınladı. En yüksek öncelik, etkilenen tüm sistemlerin mümkün olan en kısa sürede en son sürümlere güncellenmesi olmalıdır.
- Güvenlik Yapılandırmalarını Gözden Geçirin: Güvenlik yapılandırmalarınızı, özellikle Tek Oturum Açma (SSO) ve erişim kontrolleriyle ilgili olanları iki kez kontrol edin.
- Bilgilendirilmeye Devam Edin: En son tehditler ve güvenlik açıkları konusunda güncel kalmak için SAP’nin güvenlik uyarılarına ve ilgili siber güvenlik yayınlarına abone olun.
- Ek Güvenlik Önlemlerini Göz Önünde Bulundurun: Çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonunun uygulanması, sistemlerinize daha fazla koruma katmanı ekleyebilir.
SAP Build Uygulamalarındaki güvenlik açıkları tedarik zinciri güvenliğinin önemini göstermektedir. İşletmeler üçüncü taraf yazılım satıcılarının güvenlik duruşunu göz önünde bulundurmalı ve entegre çözümlerle ilişkili riskleri azaltmak için önlemler uygulamalıdır.
Bu son zafiyetler, sürekli gelişen siber tehdit ortamının çarpıcı bir hatırlatıcısı olarak hizmet ediyor. Zamanında yama yapmaya öncelik vererek, güçlü güvenlik kontrolleri uygulayarak ve kuruluş içinde siber güvenlik farkındalığı kültürü oluşturarak, işletmeler bu saldırılara kurban gitme risklerini önemli ölçüde azaltabilir. Zafiyetleri yamalamak bulmacanın sadece bir parçasıdır; değerli verilerinizi ve kritik sistemlerinizi korumak için kapsamlı bir güvenlik stratejisi şarttır.