Ноябрьский пакет патчей к продуктам SAP включает 14 исправлений, которые закрывают 19 брешей. Статус Hot News, который присваивается самым серьезным брешам, получили две уязвимости, еще пять представляют «высокую» угрозу. Основная часть обновлений относится к багам «средней» категории опасности.

Самые серьезные проблемы были обнаружены в SAP HANA Streaming Analytics — аналитической платформе, позволяющей обрабатывать большие массивы информации в реальном времени. Это решение используют многие крупные компании, что обусловило большой вредоносный потенциал — уязвимости CVE-2018-1270 и CVE-2018-1275 получили по 9,9 балла по шкале CVSS. Они создавали возможность удаленного исполнения кода, позволяя злоумышленнику добраться до критически важных бизнес-данных.

Приложение SAP Fiori Mobile Client получило целый набор патчей с высокой степенью важности. Так, CVE-2018-2485 открывала вредоносному приложению путь за пределы песочницы ОС Android. В результате преступник мог похитить персональные данные и системную информацию устройства, а также шпионить за владельцем через встроенный микрофон. Уязвимость CVE-2018-2488 позволяла спровоцировать критический сбой приложения через отправку пустого push-уведомления, блокируя пользователю доступ к сервисам SAP.

Злоумышленник также мог использовать мобильный клиент SAP, чтобы обойти систему авторизации (CVE-2018-2489), проводить веб-инъекции вредоносного JavaScript-кода (CVE-2018-2491), перехватывать конфиденциальные данные (CVE-2018-2490). Эксперты отмечают, что все эти бреши можно было использовать как по отдельности, так и в рамках комплексной атаки.

Среди патчей для менее опасных брешей специалисты выделили заплатку к уязвимости Zip Slip, обнаруженной в системе бухгалтерской отчетности SAP Disclosure Management. Из-за ошибки в механизме записи декомпрессированных документов злоумышленник мог удалять или редактировать данные, открывать и выполнять сохраненные на компьютере файлы.

Еще одна опасная уязвимость была обнаружена в продукте для бизнес-аналитики SAP Business Objects, а именно — в ее онлайн-системе управления контентом. Особым образом сформулированный HTTP-запрос мог вызвать бесконечное увеличение потребляемых ресурсов, выводя веб-сервер из строя. Особую угрозу представляет возможность эксплуатации бага без аутентификации через простое интернет-соединение.

Эксперты отмечают, что ноябрьские патчи затронули множество корпоративных продуктов, и призывают пользователей как можно скорее установить обновления.

Категории: Уязвимости