Yakın Zamanda SAP Sisteminde Bulunan Kritik Güvenlik Açıkları

SAP iş sağlayıcısı, kullanıcıları için, 11 farklı güvenlik uyarısı başlattı.

Uluslararası Siber Güvenlik Enstitüsü’nün siber güvenlik ve etik korsanlık uzmanlarına göre, şirket, müşterilerini yakın zamanda veri yönetimi sisteminde bulunan güvenlik açıklarını gidermek için bir dizi güvenlik yaması başlatılması konusunda bilgilendirdi. Bulunan güvenlik açıklarının başlığı CVE-2019-0246 olarak izlenen SAP Cloud Connector’ın 2.11.3 versiyonudur . Siber güvenlik uzmanlarından gelen raporlara göre , bu yazılım, kullanıcının kimliğini doğrulama gerektiren işlevler için zayıf kimlik doğrulaması gerçekleştirir. İlgili bir güvenlik açığından yararlanmak (CVE-2019-0247) uzaktan kod yürütme saldırısına izin verir. Ardından, kritik bilgi sızıntısı yaratan bir güvenlik açığı sunan SAP Landscape Management var (CVE-2019-0249 olarak izlendi) .

İki SAP ürünü ek kimlik doğrulama hataları sundu;
-SAP veri deposu sistemi ve
-SAP Enterprise Financial Services. Her iki güvenlik açığı (CVE-2019-0243 ve CVE-2018-2484), kimlik doğrulama işleminde, bir saldırganın birkaç siber güvenlik uzmanı tarafından bildirildiği gibi bir ayrıcalık yükselmesi gerçekleştirmesine izin verebilecek hatalardır. Öte yandan, SAP Financial Consolidation Cube Designer yazılımı, şifre ayrıntılarını (CVE-2018-2499) ortaya çıkarabilecek bir güvenlik açığı sunar ve ABAP uygulama sunucusu, yetkilendirme güvenlik açığı olmadan sızıntı yapan bilgileri (CVE-2019-0248) sunar. İki hizmet reddi (DDoS) güvenlik açığı da bulundu. Bu kusurlardan ilki, SAP İş ve Envanter Yönetimi’nde (CVE-2019-0241) ; ikincisi, Android için Ticari Nesneler Aracı’nda (CVE-2019-0240) özel hazırlanmış kötü amaçlı bağlantılar aracılığıyla hareket etti. SAP Commerce (CVE-2019-0238) ve Enterprise CRM Kullanıcı Arabirimi’nde (CVE-2019-0244 ve CVE-2019-0245) XSS güvenlik açığı bulundu .

Bu güvenlik açıkları ile ilgili tüm ayrıntıları SAP destek sayfasında bulabilirsiniz. Şirketin müşterileri araçlarını en kısa sürede güncellemeleri için teşvik edilir.