В компоненте SAP NetWeaver обнаружены опасные уязвимости

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.577
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Уязвимости могут привести к раскрытию информации, повышения привилегий и полной компрометации системы SAP CRM.

ed6c9aacaaafec64781e2eeb7f0437f7.jpg


Исследователи безопасности из ERPScan сообщили о двух опасных уязвимостях в SAP NetWeaver Application Server Java, совместное использование которых можно объединить для взлома систем управления взаимоотношениями с клиентами (CRM).

При совместной эксплуатации уязвимость обхода каталога и проблема, позволяющая внедрить вредоносный контент в журнал (log injection) приводят к раскрытию информации, повышению привилегий и полной компрометации системы SAP CRM. В настоящее время обе уязвимости уже исправлены.

По данным исследователей, на сегодняшний день в Сети доступно более 500 систем SAP CRM, уязвимых к данным проблемам. Уязвимости получили оценки 6.3 и 7.7 по шкале CVSS v3.

Злоумышленник может проэксплуатировать уязвимость обхода каталога для того, чтобы прочитать зашифрованные учетные данные администратора из файла конфигурации системы, после чего расшифровывать пароль и авторизоваться на портале SAP CRM. Затем атакующий может проэксплуатировать другую уязвимость обхода каталога для изменения пути файла журнала SAP к корневому пути web-приложения. Далее, используя специально сформированный запрос, злоумышленник может внедрить файл журнала с вредоносным кодом и анонимно связываться с ним с удаленного web-сервера.

Исследователи обнаружили уязвимости в феврале 2016 года, однако SAP изначально не смогла воспроизвести проблемы. Затем они были ошибочно классифицированы как дубликаты уже обнаруженой проблемы, что привело к задержке выхода исправлений.

По словам представителей SAP, компания исправила обе проблемы в феврале 2018 года. Пользователям рекомендуется как можно быстрее установить соответствующие обновления.

SAP NetWeaver Application Server - компонент SAP NetWeaver, выполняющий функции сервера веб-приложений для решений компании SAP. Включает в себя серверы приложений ABAP и Java. Возможна установка обеих частей как совместно, так и по-отдельности.
 
Назад
Сверху Снизу