WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
SAP vá các lỗ hổng XSS, code injection nghiêm trọng
Ngày 14/6, SAP phát hành một loạt bản cập nhật cho các sản phẩm của hãng, vá tổng cộng 21 lỗ hổng, bao gồm 4 lỗ hổng nghiêm trọng, 1/4 lỗi được đánh giá là "Hot News" (tin tức đáng quan tâm nhất).
SAP đưa ra 13 lưu ý an ninh trong ngày đưa ra bản vá của hãng, bổ sung thêm 2 bản cập nhật cho các Lưu ý an ninh được phát hành trước đó. Ngoài 15 lỗi kể trên, SAP cũng phát hành 6 Lưu ý hỗ trợ.
Theo SAP, 1 trong 15 lỗ hổng được xử lý được đánh giá là "Hot News", ngoài ra, 3 lỗi ở mức nghiêm trọng cao, 10 ở mức trung bình, và 1 ở mức thấp. Các lỗ hổng bao gồm 1 lỗi Cross-Site Scripting (XSS), 3 lỗi thiếu kiểm tra xác thực, 2 lỗi từ chối dịch vụ (DoS), 1 lỗi lộ lọt thông tin, 1 lỗi code injection và 4 lỗi khác.
Lỗi Hot News là lỗ hổng Code Injection tồn tại trên các công cụ dịch văn bản của SAP, có điểm đánh giá CVSS Base Score 9,1. Tùy thuộc vào mã được chèn, tin tặc có thể khai thác lỗi để chạy mã, lấy thông tin, sửa dữ liệu, xóa dữ liệu, thay đổi đầu vào hệ thống, tạo người dùng mới với đặc quyền cao hơn, kiểm soát hành vi của hệ thống, có thể leo thang đặc quyền bằng cách thực thi mã độc hại, và thậm chí thực hiện một cuộc tấn công DoS.
Trong 3 lỗi có mức nghiêm trọng cao, 1 là lỗ hổng XSS trong SAP DesignStudio SFIN, có điểm CVSS Base Score là 8,8, và 1 lỗ hổng khác là XXE (XML external entity) trong công cụ khảo sát Web của SAP, có điểm CVSS Base Score là 7,5 (có thể cho phép hacker chiếm quyền truy cập trái phép vào hệ thống tập tin của hệ điều hành). SAP cũng xử lý một lỗ hổng XSS trong SAP ecattping, có điểm CVSS Base Score 6.1.
Một lỗ hổng có điểm CVSS Base Score 5,3/10 và có thể bị hacker khai thác với mục đích tiết lộ thông tin bổ sung (dữ liệu hệ thống, thông tin gỡ lỗi…), cho phép tin tặc hiểu về hệ thống và lên kế hoạch tấn công chi tiết hơn. BI Reporting and Planning được thiết kế để chuyển đổi và củng cố thông tin kinh doanh từ hầu như mọi hệ thống nguồn. Lỗ hổng chưa được vá này có thể khiến các doanh nghiệp công ty chịu rủi ro nghiêm trọng.
Hãng ERPScan giải thích rằng không phải tất cả các doanh nghiệp đều áp dụng bản vá ngay sau khi được phát hành, và một số lỗi vẫn chưa được vá trong nhiều năm sau khi SAP phát hành các bản vá cần thiết. Một ví dụ gần đây là trường hợp của Invoker Servlet, được SAP vá năm 2010, tồn tại ở chức năng tích hợp sẵn trong hệ thống NetWeaver Application Server Java (nền tảng Java) của SAP. Gần đây, các nhà nghiên cứu tiết lộ có tới 36 tổ chức toàn cầu đã bị hack bởi những tin tặc khai thác lỗ hổng này.
NetWevwer ABAP của SAP, nền tảng phụ trợ cho hầu hết các ứng dụng doanh nghiệp thông thường như ERP, CRM, SRM, và PLM, bị ảnh hưởng nhiều lỗ hổng nhất. Như thường lệ, các doanh nghiệp sử dụng sản phẩm bị ảnh hưởng cần áp dụng các bản vá lỗi an ninh càng sớm càng tốt, để phòng tránh các rủi ro kinh doanh ảnh hưởng đến hệ thống SAP.
Tháng trước, SAP xử lý một lỗ hổng Hot News trong ASE XPServer, cùng với 9 lỗ hổng khác trong các sản phẩm như Crystal Reports cho doanh nghiệp và Predictive Analytics, hay nền tảng NetWevwer ABAP. Vào tháng 4, SAP đã vá 19 lỗ hổng trong các sản phẩm của hãng, 10 trong số đó được đánh giá là nghiêm trọng cao, trong khi đã vá 28 lỗ hổng trong tháng 3.
SAP đưa ra 13 lưu ý an ninh trong ngày đưa ra bản vá của hãng, bổ sung thêm 2 bản cập nhật cho các Lưu ý an ninh được phát hành trước đó. Ngoài 15 lỗi kể trên, SAP cũng phát hành 6 Lưu ý hỗ trợ.
Theo SAP, 1 trong 15 lỗ hổng được xử lý được đánh giá là "Hot News", ngoài ra, 3 lỗi ở mức nghiêm trọng cao, 10 ở mức trung bình, và 1 ở mức thấp. Các lỗ hổng bao gồm 1 lỗi Cross-Site Scripting (XSS), 3 lỗi thiếu kiểm tra xác thực, 2 lỗi từ chối dịch vụ (DoS), 1 lỗi lộ lọt thông tin, 1 lỗi code injection và 4 lỗi khác.
Lỗi Hot News là lỗ hổng Code Injection tồn tại trên các công cụ dịch văn bản của SAP, có điểm đánh giá CVSS Base Score 9,1. Tùy thuộc vào mã được chèn, tin tặc có thể khai thác lỗi để chạy mã, lấy thông tin, sửa dữ liệu, xóa dữ liệu, thay đổi đầu vào hệ thống, tạo người dùng mới với đặc quyền cao hơn, kiểm soát hành vi của hệ thống, có thể leo thang đặc quyền bằng cách thực thi mã độc hại, và thậm chí thực hiện một cuộc tấn công DoS.
Trong 3 lỗi có mức nghiêm trọng cao, 1 là lỗ hổng XSS trong SAP DesignStudio SFIN, có điểm CVSS Base Score là 8,8, và 1 lỗ hổng khác là XXE (XML external entity) trong công cụ khảo sát Web của SAP, có điểm CVSS Base Score là 7,5 (có thể cho phép hacker chiếm quyền truy cập trái phép vào hệ thống tập tin của hệ điều hành). SAP cũng xử lý một lỗ hổng XSS trong SAP ecattping, có điểm CVSS Base Score 6.1.
Một lỗ hổng có điểm CVSS Base Score 5,3/10 và có thể bị hacker khai thác với mục đích tiết lộ thông tin bổ sung (dữ liệu hệ thống, thông tin gỡ lỗi…), cho phép tin tặc hiểu về hệ thống và lên kế hoạch tấn công chi tiết hơn. BI Reporting and Planning được thiết kế để chuyển đổi và củng cố thông tin kinh doanh từ hầu như mọi hệ thống nguồn. Lỗ hổng chưa được vá này có thể khiến các doanh nghiệp công ty chịu rủi ro nghiêm trọng.
Hãng ERPScan giải thích rằng không phải tất cả các doanh nghiệp đều áp dụng bản vá ngay sau khi được phát hành, và một số lỗi vẫn chưa được vá trong nhiều năm sau khi SAP phát hành các bản vá cần thiết. Một ví dụ gần đây là trường hợp của Invoker Servlet, được SAP vá năm 2010, tồn tại ở chức năng tích hợp sẵn trong hệ thống NetWeaver Application Server Java (nền tảng Java) của SAP. Gần đây, các nhà nghiên cứu tiết lộ có tới 36 tổ chức toàn cầu đã bị hack bởi những tin tặc khai thác lỗ hổng này.
NetWevwer ABAP của SAP, nền tảng phụ trợ cho hầu hết các ứng dụng doanh nghiệp thông thường như ERP, CRM, SRM, và PLM, bị ảnh hưởng nhiều lỗ hổng nhất. Như thường lệ, các doanh nghiệp sử dụng sản phẩm bị ảnh hưởng cần áp dụng các bản vá lỗi an ninh càng sớm càng tốt, để phòng tránh các rủi ro kinh doanh ảnh hưởng đến hệ thống SAP.
Tháng trước, SAP xử lý một lỗ hổng Hot News trong ASE XPServer, cùng với 9 lỗ hổng khác trong các sản phẩm như Crystal Reports cho doanh nghiệp và Predictive Analytics, hay nền tảng NetWevwer ABAP. Vào tháng 4, SAP đã vá 19 lỗ hổng trong các sản phẩm của hãng, 10 trong số đó được đánh giá là nghiêm trọng cao, trong khi đã vá 28 lỗ hổng trong tháng 3.
Nguồn: Security Week