SAP SE доработала патч для уязвимости инъекции кода в поисковом движке TREX, который используют более дюжины продуктов компании, в том числе интеграционная платформа NetWeaver для развертывания бизнес-приложений, а также СУБД SAP HANA. Уязвимость была обнаружена в 2015 году и тогда же устранена в HANA.

Глава вирусных аналитиков ERPScan Матьё Жели (Mathieu Geli) продолжил изучать этот баг и обнаружил, что патч устранил его не полностью. Дело в том, что используемый поисковой машиной внутренний протокол TREXNet не предусматривал аутентификацию, что сохраняло шанс на эксплойт. «Я разобрал протокол для HANA, а затем протокол поискового движка TREX, — пишет Жели. — Поскольку они делят общий протокол, адаптация эксплойта не потребовала особых усилий. SAP исправила некоторые функции, но не все, что имело значение для протокола ядра. Возможность получения полного контроля на сервере осталась даже при пропатченном TREX».

По свидетельству ERPScan, эксплойт в данном случае осуществляется подачей особого запроса на порты TREXNet и позволяет читать или создавать файлы. Подробности уязвимости останутся под замком еще 90 дней.

Брешь, о которой идет речь (CVE-2017-7691), была окончательно закрыта во вторник, в рамках планового выпуска SAP. Пропатчены также 12 новых, менее опасных уязвимостей. Кроме того, разработчик обновил бюллетень, посвященный RCE-уязвимости в SAP GUI для Windows, закрытой в прошлом месяце. Для снижения риска атаки через GUI-клиент SAP рекомендует активировать SAP GUI Security Module.

Две новые уязвимости, закрываемые апрельским выпуском, получили оценку высокой степени опасности. Одна из них вызвана отсутствием валидации XML в среде разработки Web Dynpro Flash Island, позволяющей создавать полнофункциональные интернет-приложения. Ряд серьезных брешей закрыт в SAPLPD, программе переноса данных, используемой для печати с фронтального ПК в SAP-системах.

Восемь уязвимостей оценены как умеренной степени опасности, еще две — как низкой. Наиболее серьезными из умеренно опасных брешей являются XSS в NetWeaver Central Technical Configuration, отсутствие проверки полномочий при авторизации в NetWeaver ADBC Demo Programs и ошибки механизма такой проверки в ERP Logistics Customer Master и Vendor Master.

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *