SAP یک شرکت پیشرو در زمینهی تولید نرمافزارهای سازمانی است. از محصولات SAP برای مدیریت فعالیتهای تجاری استفاده میشود. محصولات این شرکت به کسبوکارها و سازمانها کمک میکنند تا فرآیندهای مختلف خود از جمله فرآیندهای مالی، حسابداری، منابع انسانی، تولید، زنجیره تأمین، و خدمات مشتریان را به صورت یکپارچه و کارآمد مدیریت کنند.
SAP بسته امنیتی خود را منتشر کرده است که شامل وصلههای امنیتی برای چندین آسیبپذیری است، از جمله دو آسیبپذیری بحرانی که در ادامه به توضیح جزئیات هر یک میپردازیم:
- آسیبپذیری با شناسه CVE-2024-41730، که با شدت بحرانی و امتیاز CVSS 9.8 ردیابی میشود، یک نقص بحرانی با امکان دور زدن احراز هویت است که به مهاجمان راه دور اجازه میدهد تا کاملا سیستم را تحت کنترل خود درآورند.
در توضیحات ارائه شده توسط شرکت SAP آمده است: "در پلتفرم SAP BusinessObjects Business Intelligence (یک مجموعه نرمافزاری که با ارائهی ابزارهای متنوعی برای ایجاد گزارشها، داشبوردها، و تجزیه و تحلیل دادهها به سازمانها، کمک میکند دادههای خود را تحلیل و تفسیر کنند)، اگر Single Sign-On بر روی احراز هویت Enterprise فعال باشد، یک کاربر غیرمجاز میتواند با استفاده از یک نقطه پایانی REST (یک URL که به یک منبع خاص در سرویس وب RESTful اشاره دارد)، توکن log in را دریافت کند. مهاجم میتواند بهطور کامل سیستم را در دست بگیرد و محرمانگی، یکپارچگی و دسترسیپذیری را شدیدا به خطر اندازد."
- آسیبپذیری دیگر با شناسه CVE-2024-29415 که با شدت بحرانی و امتیاز CVSS 9.1 شناسایی شده است، یک نقص جعل درخواست در سمت سرور (SSRF) است.
این نقص به دلیل ضعف در پکیج 'IP' در Node.js ایجاد شده است که چک میکند آیا یک آدرس IP عمومی است یا خصوصی. زمانی که از نمایش IP در حالت هشتتایی استفاده میشود، این پکیج به اشتباه '127.0.0.1' را به عنوان یک آدرس عمومی و قابل مسیریابی جهانی شناسایی میکند در حالی که باید آن را به عنوان یک آدرس محلی و خصوصی شناسایی کند.
بهرهبرداری موفقیتآمیز از این نقص، مهاجم را قادر میسازد تا درخواستهای خاصی را به سرورهای داخلی- که نباید از بیرون به آنها دسترسی داشت- ارسال کند. این امر ممکن است به مهاجم اجازه دهد تا به اطلاعات حساس دسترسی پیدا کرده یا حتی کنترل سرور را به دست گیرد.
از دیگر بهروزرسانیهای اعلامشده برای نواقص امنیتی SAP، چهار مورد با شدت بالا (با امتیاز CVSS بین 7.4 تا 8.2) طبقهبندی شدهاند که به شرح زیر میباشند:
- CVE-2024-42374: در BEx Web Java Runtime Export Web Service ، یک آسیبپذیری وجود دارد که در آن، اسناد XML دریافت شده از منابع غیرمعتبر به درستی اعتبارسنجی نمیشوند. این ضعف به مهاجمان اجازه میدهد تا به اطلاعات مهم سیستم دسترسی پیدا کرده و حتی باعث شوند بخشی از سیستم که وظیفه ایجاد فایلهای PDF را دارد، از کار بیفتد. این مشکل میتواند باعث افشای اطلاعات و مختل شدن عملکرد سیستم شود.
- CVE-2023-30533: نرمافزار SheetJS Community Edition دارای یک نقص امنیتی است که امکان آلودگی نمونه اولیه (Prototype Pollution) را از طریق یک فایل دستکاریشده فراهم میکند. آلودگی نمونه اولیه یک نوع آسیبپذیری امنیتی در برنامهنویسی است که به مهاجمان اجازه میدهد ویژگیها یا متغیرهای دلخواهی را به نمونههای اولیه (Prototype) اشیاء در زبانهای برنامهنویسی اضافه کنند. این آسیبپذیری بهطور خاص در زبانهای برنامهنویسی پویا مانند جاوا اسکریپت (JavaScript) رایج است. با این کار مهاجم ممکن است بتواند ویژگیهای نمونهی اولیه را به عنوان متغیرهای قابل دسترسی در کل برنامه معرفی کند که ممکن است به نشت اطلاعات، دور زدن کنترلهای امنیتی، یا اجرای کد دلخواه منجر شود.
- CVE-2024-34688: در SAP NetWeaver AS Java، به دلیل دسترسی نامحدود به سرویسهای Meta Model Repository، مهاجمان میتوانند حملات انکار سرویس (DoS) را بر روی برنامه اجرا کنند. در این نوع حملات، مهاجم با ایجاد بار اضافی بر روی سیستم، موجب میشود که کاربران مجاز نتوانند به برنامه دسترسی داشته باشند و در نتیجه برنامه از دسترس خارج شود. این آسیبپذیری، تأثیری بر محرمانگی و یکپارچگی ندارد، اما تأثیر بسیار زیادی بر دسترسیپذیری سیستم دارد.
- CVE-2024-33003: در SAP Commerce Cloud، برخی از بخشهای API وجود دارند که به اشتباه اجازه میدهند اطلاعات حساس کاربران، مانند رمزهای عبور، آدرسهای ایمیل، شمارههای تلفن همراه، و کدهای تخفیف به صورت مستقیم در آدرس اینترنتی (URL) درخواست قرار بگیرند. این امر به این معنی است که این اطلاعات در آدرس درخواست قابل مشاهده هستند که در صورت دسترسی مهاجمان به این URLها، میتواند به افشای اطلاعات حساس منجر شود. بهرهبرداری موفق از این آسیبپذیری میتواند تأثیر قابل توجهی بر محرمانگی و یکپارچگی سیستم داشته باشد.
محصولات تحت تاثیر
برنامهها و نسخههایی که توسط هر آسیبپذیری تحت تاثیر قرار میگیرند عبارتند از:
- CVE-2024-41730: این آسیبپذیری نسخههای 430 و 440 پلتفرم SAP BusinessObjects Business Intelligence را تحت تأثیر قرار میدهد.
- CVE-2024-29415: این آسیبپذیری برنامههای ساختهشده با SAP Build Apps در نسخههای قدیمیتر از 4.11.130 را تحت تأثیر قرار میدهد.
- CVE-2024-42374: این آسیبپذیری نسخههای BI-BASE-E 7.5، BI-BASE-B 7.5، BI-IBC 7.5، BI-BASE-S 7.5 و BIWEBAPP 7.5 از BEx Web Java Runtime Export Web Service را تحت تأثیر قرار میدهد.
- CVE-2023-30533: این آسیبپذیری نرمافزار SheetJS Community Edition را در نسخههای ماقبل 0.19.3 تحت تأثیر قرار میدهد.
- CVE-2024-34688: این آسیبپذیری نسخه MMR_SERVER 7.5 در کامپوننت Meta Model Repository را تحت تاثیر قرار میدهد.
- CVE-2024-33003: این آسیبپذیری نسخههای HY_COM 1808، 1811، 1905، 2005، 2105، 2011، 2205، 2211 و COM_CLOUD از SAP Commerce Cloud را تحت تأثیر قرار میدهد.
توصیههای امنیتی
با توجه به اینکه SAP بزرگترین فروشنده ERP (سیستم برنامهریزی منابع سازمان) در جهان است و محصولات آن در بیش از 90 درصد از شرکتهای جهانی استفاده میشوند، مهاجمان همواره به دنبال بهرهبرداری از نقصهای بحرانی احراز هویت هستند که میتواند به آنها امکان دسترسی به شبکههای شرکتی بسیار ارزشمند را بدهد.
در فوریه 2022، سازمان امنیت سایبری و زیرساختهای آمریکا (CISA) از مدیران سیستمها خواست تا آسیبپذیریهای شدید در برنامههای کسبوکار SAP را بهروزرسانی کنند تا از سرقت دادهها، باجافزارها و اختلالات در عملیاتهای حیاتی جلوگیری شود. مهاجمان در بازه زمانی بین 2020 تا 2021 از سیستمهای SAP بدون بهروزرسانی استفاده کرده و در حداقل 300 مورد به شبکههای شرکتی نفوذ کردند.
بنابراین، بهروزرسانی مناسب و هرچه سریعتر به آخرین نسخههای منتشر شده از محصولات SAP اکیدا توصیه میگردد.
منبع خبر:
https://www.bleepingcomputer.com/news/security/critical-sap-flaw-allows-remote-attackers-to-bypass-…
- 83