-
18/08/2021
-
45
-
73 bài viết
SAP vá nhiều lỗ hổng nghiêm trọng trong nền tảng công nghệ kinh doanh
Vào thứ ba, SAP - nhà sản xuất phần mềm doanh nghiệp của Đức đã công bố 15 thông tin cập nhật bảo mật mới và 2 cập nhật bảo mật tháng 12 năm 2023.
Bốn trong số này được SAP đánh giá ở mức độ nghiêm trọng cao nhất - hot news (tin nóng), nhưng có ba lỗi là cập nhật cho các thông tin đã phát hành trước đó.
Những thông tin bảo mật mới này liên quan đến nhiều lỗ hổng trong Nền tảng công nghệ kinh doanh SAP (BTP), trong đó nghiêm trọng nhất là lỗ hổng nâng cao đặc quyền.
Lỗ hổng có mã định danh CVE-2023-49583 (điểm CVSS là 9.1) nằm trong Thư viện tích hợp dịch vụ bảo mật BTP, giúp đơn giản hóa việc tích hợp các dịch vụ bảo mật BTP và các dịch vụ nhận dạng khác.
Công ty bảo mật doanh nghiệp Onapsis giải thích rằng: "Lỗ hổng cho phép kẻ tấn công chưa xác thực có được các quyền tùy ý trong ứng dụng dẫn đến tác động cao đến tính bảo mật và tính toàn vẹn của ứng dụng".
SAP đã có bài khuyến cáo trên blog riêng, kêu gọi tất cả khách hàng xem lại thông báo bảo mật, đảm bảo rằng hệ thống của họ đáp ứng các điều kiện tiên quyết cần thiết cho bản cập nhật và áp dụng giải pháp được cung cấp để giải quyết vấn đề.
"Hot news" đầu tiên là các bản vá cho trình duyệt dựa trên Chromium trong SAP Business Client. Bản cập nhật vá 44 lỗ hổng bảo mật, bao gồm ba lỗi nghiêm trọng và 17 lỗi có mức nghiêm trọng cao.
Hai "hot news" còn lại là các bản cập nhật cho một thông báo bảo mật được phát hành vào tháng 4 năm 2023 để giải quyết lỗ hổng OS command injection trong SAP ECC and SAP S/4HANA (IS-OIL).
Onapsis cho biết: "Cả hai thông báo bảo mật đều chỉ ra rằng các bản vá tương ứng chỉ có thể được áp dụng cho một hệ thống nếu IS-OIL được kích hoạt. Bỏ qua điều kiện tiên quyết này có thể dẫn đến sự không nhất quán nghiêm trọng của hệ thống".
SAP đã phát hành bốn thông báo bảo mật ưu tiên cao như một phần của các bản vá vào tháng 12 năm 2023, giải quyết lỗi kiểm soát truy cập không đúng cách trong Commerce Cloud, có thể cho phép người dùng bị chặn sử dụng tính năng quên mật khẩu để lấy lại quyền truy cập vào ứng dụng.
Tiếp theo, một lỗ hổng cross-site scripting (XSS) nghiêm trọng cao trong BusinessObjects có thể cho phép kẻ tấn công tải các tài liệu độc hại lên hệ thống và tiết lộ thông tin trong SAP GUI Windows và SAP GUI Java, dẫn đến việc lộ thông tin bí mật, cũng đã được giải quyết.
Ngoài ra, SAP đã vá lỗi kiểm tra thiếu ủy quyền ở mức nghiêm trọng cao (high-severity missing authorization) trong EMARSYS SDK Android, có thể cho phép kẻ tấn công có quyền kiểm soát thiết bị Android của nạn nhân, chuyển tiếp URL mà không cần xác thực từ ứng dụng máy chủ.
Onapsis giải thích: "Khi khai thác thành công, kẻ tấn công có thể điều hướng đến các URL tùy ý, bao gồm các liên kết của ứng dụng trên thiết bị".
SAP cũng phát hành 7 thông báo bảo mật ưu tiên ở mức trung bình và hai ưu tiên thấp. Nhà sản xuất phần mềm không đề cập đến bất kỳ lỗ hổng nào trong số này đang bị khai thác trong các cuộc tấn công độc hại, nhưng sẽ có những tác nhân nhắm mục tiêu vào các lỗ hổng trong ứng dụng SAP.
Bốn trong số này được SAP đánh giá ở mức độ nghiêm trọng cao nhất - hot news (tin nóng), nhưng có ba lỗi là cập nhật cho các thông tin đã phát hành trước đó.
Những thông tin bảo mật mới này liên quan đến nhiều lỗ hổng trong Nền tảng công nghệ kinh doanh SAP (BTP), trong đó nghiêm trọng nhất là lỗ hổng nâng cao đặc quyền.
Lỗ hổng có mã định danh CVE-2023-49583 (điểm CVSS là 9.1) nằm trong Thư viện tích hợp dịch vụ bảo mật BTP, giúp đơn giản hóa việc tích hợp các dịch vụ bảo mật BTP và các dịch vụ nhận dạng khác.
Công ty bảo mật doanh nghiệp Onapsis giải thích rằng: "Lỗ hổng cho phép kẻ tấn công chưa xác thực có được các quyền tùy ý trong ứng dụng dẫn đến tác động cao đến tính bảo mật và tính toàn vẹn của ứng dụng".
SAP đã có bài khuyến cáo trên blog riêng, kêu gọi tất cả khách hàng xem lại thông báo bảo mật, đảm bảo rằng hệ thống của họ đáp ứng các điều kiện tiên quyết cần thiết cho bản cập nhật và áp dụng giải pháp được cung cấp để giải quyết vấn đề.
"Hot news" đầu tiên là các bản vá cho trình duyệt dựa trên Chromium trong SAP Business Client. Bản cập nhật vá 44 lỗ hổng bảo mật, bao gồm ba lỗi nghiêm trọng và 17 lỗi có mức nghiêm trọng cao.
Hai "hot news" còn lại là các bản cập nhật cho một thông báo bảo mật được phát hành vào tháng 4 năm 2023 để giải quyết lỗ hổng OS command injection trong SAP ECC and SAP S/4HANA (IS-OIL).
Onapsis cho biết: "Cả hai thông báo bảo mật đều chỉ ra rằng các bản vá tương ứng chỉ có thể được áp dụng cho một hệ thống nếu IS-OIL được kích hoạt. Bỏ qua điều kiện tiên quyết này có thể dẫn đến sự không nhất quán nghiêm trọng của hệ thống".
SAP đã phát hành bốn thông báo bảo mật ưu tiên cao như một phần của các bản vá vào tháng 12 năm 2023, giải quyết lỗi kiểm soát truy cập không đúng cách trong Commerce Cloud, có thể cho phép người dùng bị chặn sử dụng tính năng quên mật khẩu để lấy lại quyền truy cập vào ứng dụng.
Tiếp theo, một lỗ hổng cross-site scripting (XSS) nghiêm trọng cao trong BusinessObjects có thể cho phép kẻ tấn công tải các tài liệu độc hại lên hệ thống và tiết lộ thông tin trong SAP GUI Windows và SAP GUI Java, dẫn đến việc lộ thông tin bí mật, cũng đã được giải quyết.
Ngoài ra, SAP đã vá lỗi kiểm tra thiếu ủy quyền ở mức nghiêm trọng cao (high-severity missing authorization) trong EMARSYS SDK Android, có thể cho phép kẻ tấn công có quyền kiểm soát thiết bị Android của nạn nhân, chuyển tiếp URL mà không cần xác thực từ ứng dụng máy chủ.
Onapsis giải thích: "Khi khai thác thành công, kẻ tấn công có thể điều hướng đến các URL tùy ý, bao gồm các liên kết của ứng dụng trên thiết bị".
SAP cũng phát hành 7 thông báo bảo mật ưu tiên ở mức trung bình và hai ưu tiên thấp. Nhà sản xuất phần mềm không đề cập đến bất kỳ lỗ hổng nào trong số này đang bị khai thác trong các cuộc tấn công độc hại, nhưng sẽ có những tác nhân nhắm mục tiêu vào các lỗ hổng trong ứng dụng SAP.
Theo SecurityWeek
Chỉnh sửa lần cuối: