На этой неделе компания SAP выпустила набор заплаток, закрывающий 14 брешей в разных ERP-продуктах. Разработчик также внес коррективы в три ранее выпущенных патча. Из новых уязвимостей одна признана критической, три — очень опасными.

Февральский список самых серьезных проблем в продуктах SAP возглавляет уязвимость в элементах управления для браузера Chromium, входящих в пакет SAP Business Client. Баг внедрения кода, оцененный в 9,8 балла по шкале CVSS, был устранен в апреле, и теперь SAP исправно освежает патч (и соответствующий бюллетень) с каждым выходом обновления Chromium. Так, в минувшем году такие дополнения для Business Client были выпущены в июне, сентябре и декабре.

Степень опасности новой критической уязвимости (CVE-2019-0261) оказалась чуть ниже — она получила 9,4 балла по CVSS. Брешь присутствует в сервере приложений XS Advanced (XSA), встроенном в СУБД SAP HANA. Уязвимость состоит в отсутствии проверки данных аутентификации, что позволяет получить несанкционированный доступ к привилегированным механизмам, а также читать, модифицировать или удалять закрытую информацию. Со слов экспертов Onapsis, обнаруживших проблему, ей подвержены некоторые версии XSA в составе пакетов SAP HANA 1 и SAP HANA 2. Если установка патча по каким-то причинам откладывается, исследователи советуют по возможности отключить уязвимый компонент.

В HANA XSA заодно пропатчена еще одна уязвимость — умеренно опасная CVE-2019-0266 (6,8 балла). Согласно SAP, эксплуатация в данном случае грозит раскрытием информации.

Из уязвимостей высокой степени опасности в первую очередь рекомендуется залатать CVE-2019-0265 (8,7 балла), также выявленную специалистами Onapsis. Эта брешь присутствует в компоненте SLD Registration платформы ABAP и относится к категории XXE (XML External Entity — атака путем использования внешних сущностей, ссылающихся на сторонние файлы, для записи спецсимволов в XML-документах), то есть открывает возможность для XML-инъекций. Добавив в тело запроса специальным образом сформированный XML-пакет, злоумышленник, со слов экспертов, сможет скомпрометировать систему и прочесть содержимое любого файла ОС, а также вызвать состояние отказа в обслуживании.

Согласно описанию Onapsis, хранимый в операционной системе компонент цифрового ядра SLD Registration (SLDREG) представляет собой бинарный код, который используется для отправки информации о внедряемой SAP-системе Менеджеру решения (Solution Manager, SOLMAN). Как оказалось, SLDREG можно запустить на исполнение дистанционно. Более того, этот компонент присутствует во всех ERP-платформах SAP, поэтому XXE-уязвимость затрагивает не только ABAP Platform, но также HANA, JAVA и т.д. Так, используя этот баг, исследователи провели успешную атаку против SAP HANA XSA.

Концепцию XXE-атаки через SLDREG эксперты представят на мартовской конференции по вопросам информационной безопасности, которая состоится в Германии. Ввиду широкого распространения бага и грядущей публикации Onapsis и SAP настоятельно рекомендуют установить патч в кратчайшие сроки.

Категории: Главное, Уязвимости