SAP lança atualizações de segurança para 5 falhas críticas
A fabricante de software SAP lançou atualizações de segurança para 19 vulnerabilidades, 5 delas classificadas como críticas, o que significa que os administradores de sistemas devem aplicá-las o mais rápido possível para mitigar os riscos associados.
As falhas corrigidas este mês afetam muitos produtos, mas os bugs de gravidade crítica afetam o SAP Business Objects Business Intelligence Platform (CMC) e o SAP NetWeaver.
As cinco falhas críticas corrigidas são:
- CVE-2023-25616: vulnerabilidade de injeção de código de gravidade crítica (CVSS v3: 9.9) na plataforma SAP Business Intelligence, permitindo que um invasor acesse recursos disponíveis apenas para usuários privilegiados. A falha afeta as versões 420 e 430.
- CVE-2023-23857: severidade crítica (CVSS v3: 9.8) divulgação de informações, manipulação de dados e falha de DoS afetando o SAP NetWeaver AS para Java, versão 7.50. O bug permite que um invasor não autenticado execute operações não autorizadas anexando-se a uma interface aberta e acessando serviços por meio da API de diretório.
- CVE-2023-27269: problema de passagem de diretório de gravidade crítica (CVSS v3: 9.6) afetando o SAP NetWeaver Application Server para ABAP. A falha permite que um usuário não administrador substitua os arquivos do sistema. Afeta as versões 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 e 791.
- CVE-2023-27500: passagem de diretório de gravidade crítica (CVSS v3: 9.6) no SAP NetWeaver AS para ABAP. Um invasor pode explorar a falha no SAPRSBRO para sobrescrever os arquivos do sistema, causando danos ao endpoint vulnerável. Impactos versões 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757.
- CVE-2023-25617: vulnerabilidade de execução de comando de gravidade crítica (CVSS v3: 9.0) na plataforma SAP Business Objects Business Intelligence, versões 420 e 430. A falha permite que um invasor remoto execute comandos arbitrários no SO usando o BI Launchpad, Central Management Console ou um aplicativo personalizado baseado no Java SDK público, sob certas condições.
Além dessas vulnerabilidades, o patch de segurança mensal da SAP corrigiu 4 falhas de alta gravidade e 10 vulnerabilidades de média gravidade.
Falhas de segurança em produtos SAP são alvos excelentes para operadores de ameaças porque são comumente usadas por grandes corporações em todo o mundo e podem servir como pontos de entrada para sistemas extremamente valiosos.
A SAP é o maior fornecedor de software de gestão (ERP) do mundo, com 24% de participação no mercado global e 425 mil clientes em 180 países. Mais de 90% das empresas da lista Forbes Global 2000 usa seus produtos ERP, SCM, PLM e CRM.
Em fevereiro do ano passado, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA instou os administradores de sistemas a corrigir um conjunto de vulnerabilidades graves que afetam os aplicativos de negócios SAP para evitar roubo de dados, ataques de ransomware e interrupção de processos e operações de missão crítica.
Para mais informações sobre como atualizar os produtos SAP acesse https://blogs.sap.com/2020/09/25/sap-sum-software-update-manager-upgrade-phases/