Поделиться
Критическая проблема в бизнес-платформе SAP получила индекс угрозы 9,9 из 10 возможных
Уязвимость в нескольких версиях платформы SAP для электронной коммерции, приводит к полной компрометации хоста и приложения. Патч не устраняет проблему полностью.
Индекс угрозы 9,9 из 10
В платформе SAP Commerce обнаружена критическая уязвимость, допускающая запуск произвольного кода, что может привести к полной компрометации приложения.
Платформа для электронной коммерции SAP Commerce сортирует данные, например, информацию о продуктах — для последующего распространения по множеству каналов. Это упрощает бизнесу работу со сложными цепочками поставок.
Уязвимость, получившая обозначение CVE-2021-21477, затрагивает версии 1808, 1811, 1905, 2005 and 2011. Ее индекс угрозы близок к абсолютному — 9,9 балла из 10 возможных по шкале CVSS.
Уязвимость позволяет некоторым пользователям с «требуемым уровнем привилегий» редактировать настройки в движке Drools, который определяет политики платформы. Эти правила, в свою очередь, могут использоваться для управления сложными сценариями по принятию решений.
В Drools присутствует отдельно взятое правило, которое содержит атрибут ruleContent, который регулирует написание сценариев. Обычно доступ к ruleContent возможен только для пользователей с высокими привилегиями, например, администраторов.
Однако, как выяснили эксперты компании Onapsis, из-за неправильной настройки пользовательских разрешений, выставленных по умолчанию в SAP Commerce, некоторые пользователи и группы пользователей с низкими привилегиями получили возможность менять атрибут ruleContent и получать несанкционированный доступ к этим средствам написания скриптов. Таким образом, пользователь с низкими привилегиями может внедрить вредоносный код в эти скрипты, скомпрометировать весь хост и нарушить нормальную работу приложения.
Как сообщили CNews в российском офисе SAP, уязвимость в нескольких версиях платформы SAP Commerce были исправлены 9 февраля 2021 г. «Рекомендации по безопасности доступны для загрузки на портале поддержки SAP, клиентам необходимо применить их, чтобы максимально обезопасить решения SAP, которые они используют, — добавили собеседники редакции».
Впрочем, хотя патч уже выпущен, эксперты Onapsis указывают, что он исправляет проблему «заводских» разрешений только в свежих установках SAP Commerce, для уже существующих настроек требуются дополнительные операции вручную.
И еще шесть критических уязвимостей
Всего последний бюллетень безопасности SAP насчитывает семь пунктов, но только один из них связан со свежей, вышеописанной уязвимостью. Остальные шесть — это обновление сведений по прежним уязвимостям, две из которых также носят критический характер. Одна оценена в 10 из 10 баллов. Никаких подробностей, кроме того, что она затрагивает браузерные инструменты для GoogleChromium, поставляемые вместе с бизнес-клиентом SAP, не опубликованы. CVE-индекс также не присваивался.
Вторая критическая уязвимость — CVE-2021-21465 — застрагивает SAP Business Warehouse, разработку для сбора и хранения данных на базе платформы SAP NetWeaver ABAP. Эта уязвимость допускает запуск любых произвольных запросов к базе данных непривилегированными пользователями, вплоть до SQL-команд, которые система будет выполнять безо всякой очистки. То есть, речь идет об SQL-инъекции с последующей полной компрометацией системы.
«Видимо, это чей-то прямой недосмотр, — комментирует первую из описанных уязвимостей Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Только очень ограниченное количество администраторов должно иметь возможность что-то редактировать на уровне установления политик, особенно если речь идет о правилах, затрагивающих всю платформу. Высокий балл CVSS, скорее всего, связан с тем, что уязвимость очень легко эксплуатировать».
Поделиться
Короткая ссылка
