SAP telah mengidentifikasi 32 aplikasi yang terpengaruh oleh CVE-2021-44228 – kerentanan kritis di perpustakaan logging berbasis Java Apache Log4j yang telah diserang aktif sejak minggu lalu.
As kemarin, Patch Tuesday, pembuat perangkat lunak Jerman melaporkan bahwa itu sudah menambal 20 aplikasi tersebut, dan masih bekerja keras untuk memperbaiki 12. SAP menyediakan solusi untuk beberapa tambalan yang tertunda dalam dokumen ini, dapat diakses oleh pengguna di portal dukungan perusahaan.
Berita tentang Log4Shell telah nonstop, dengan mudah dieksploitasi, kerentanan di mana-mana menghasilkan variasi yang lebih berbahaya, dikaitkan dengan kerentanan lain di patch cepat Apache dan aktor ancaman yang melompatinya dalam skala global.
Antara Minggu dan Rabu pagi ET, SAP telah merilis 50 Catatan SAP dan entri Basis Pengetahuan berfokus pada Log4j.
Di luar ‘Logapalooza’: Patch SAP Lainnya Perbaikan Selasa
Tapi sulit untuk dipercaya, Ada masalah keamanan SAP lainnya yang harus diperhatikan selain Logapalooza, termasuk perbaikan untuk kelemahan parah lainnya dalam produk perusahaan. Pada hari Selasa, SAP merilis 21 patch keamanan baru dan yang diperbarui, termasuk empat HotNews Notes dan enam High Priority Notes.
“HotNews” adalah peringkat dengan tingkat keparahan tertinggi yang diberikan SAP. Tiga bug dengan peringkat HotNews bulan Desember membawa peringkat CVSS 9,9 (dari 10) dan yang keempat mencapai nilai tertinggi 10.
Thomas Fritsch, seorang peneliti keamanan SAP di perusahaan keamanan perusahaan Onapsis, mengatakan dalam tulisannya di SAP Patch Tuesday bahwa jumlah HotNews Notes mungkin tampak tinggi, tetapi salah satunya – #3089831, ditandai dengan skor CVSS 9,9 – awalnya dirilis pada SAP September 2021 Patch Selasa. Mencakup kerentanan injeksi SQL dalam Kerangka Tabel Pemetaan SAP NZDT, catatan tersebut diperbarui dalam batch Patch Tuesday Desember dengan apa yang dikatakan Fritsch sebagai informasi tentang kemungkinan gejala. “SAP secara eksplisit mengatakan bahwa pembaruan tidak memerlukan tindakan pelanggan apa pun,” katanya.
Lain dari HotNews Notes – #2622660 – diberi peringkat kekritisan teratas 10, tetapi HotNews Note yang terus berulang yang menyediakan Patch Klien Bisnis SAP dengan Chromium fixes.
terbaru yang telah diuji“Pelanggan SAP Business Client sudah mengetahui bahwa pembaruan catatan ini selalu berisi perbaikan penting yang harus ditangani,” kata Fritsch. “Catatan tersebut merujuk pada 62 perbaikan Chromium dengan skor CVSS maksimum 9,6 — 26 di antaranya dinilai dengan Prioritas Tinggi. Angka terakhir hanya mencerminkan kerentanan yang dilaporkan secara eksternal, karena Google tidak memberikan informasi seperti itu tentang masalah yang terdeteksi secara internal.”
Menghilangkan ini, apa yang tersisa dari patch non-Log4Shell yang paling penting adalah duo untuk SAP Commerce yang keduanya dirilis dengan kekritisan CVSS 9,9, dan yang dirinci di bawah.
SAP HotNews Note Security Note #3109577
Catatan ini untuk kerentanan eksekusi kode di SAP Commerce, lokalisasi untuk China, yang mencakup 11 CVE terkait. SAP telah menandainya dengan skor CVSS 9,9. Catatan menambal beberapa kerentanan eksekusi kode dalam produk. Fritsch mencatat bahwa pelokalan untuk paket China menggunakan pustaka sumber terbuka XStream: pustaka sederhana yang membuat serial objek ke XML dan kembali lagi. Catatan
SAP menyediakan tambalan untuk versi 2001 pelokalan untuk paket China, yang berarti bahwa pelanggan SAP Commerce menggunakan versi yang lebih rendah perlu ditingkatkan sebelum menerapkan tambalan, kata Fritsch. Dia mengeluarkan dua hal yang layak disebutkan ketika membandingkan CVE catatan dengan tambalan yang terdaftar di https://x-stream.github.io/security.html:
- Tambalan SAP yang disediakan berisi versi 1.4.15 dari pustaka XStream
Version 1.4.15 secara khusus menambal kerentanan Eksekusi Kode, tetapi mengikuti riwayat tambalan Xstream, ini juga memperbaiki dua kerentanan Denial-of-Service dan kerentanan Permintaan Pemalsuan Situs Server
“Sebagai solusi, pelanggan yang terpengaruh juga dapat langsung mengganti file perpustakaan XStream yang terpengaruh dengan versi terbaru ,” saran Fritsch.
SAP HotNews Note Security Note #3119365
Yang ini, yang juga ditandai dengan skor CVSS 9,9, menambal masalah injeksi kode dalam laporan ekstraksi teks Alat Terjemahan dari Server SAP ABAP & Platform ABAP.
Ditemukan dalam Versi 701, 740, 750, 751, 752, 753, 754, 755, 756 dan 804, kerentanan memungkinkan penyerang dengan hak istimewa rendah untuk mengeksekusi perintah sewenang-wenang di latar belakang, Jumat tsch menjelaskan. Fakta bahwa penyerang semacam itu membutuhkan setidaknya beberapa hak istimewa untuk mengeksploitasi kerentanan membuat skor CVSS-nya turun dari 10, katanya.
“Patch yang disediakan hanya menonaktifkan pengkodean yang terpengaruh,” Fritsch melanjutkan. “Laporan hanya digunakan oleh SAP secara internal, tidak dimaksudkan untuk dirilis, dan tidak memengaruhi fungsi yang ada.”
Mereka yang dapat mengakses catatan dan yang tertarik dengan laporan mana yang terpengaruh dapat memperoleh informasi tersebut di bagian “Petunjuk Koreksi” dengan mengaktifkan tab “Entri TADIR,” kata Fritsch.
Catatan Prioritas Tinggi SAP yang Terkemuka
Catatan Keamanan SAP #3114134 dan #3113593
SAP Commerce juga dipengaruhi oleh dua catatan Prioritas Tinggi yang terkenal ini.
Ditandai dengan skor CVSS 8,8, catatan prioritas tinggi pertama alamat instalasi SAP Commerce dikonfigurasi untuk menggunakan database Oracle, menurut Fritsch. “Pelarian nilai yang diteruskan ke klausa “dalam” berparameter, dalam kueri penelusuran fleksibel dengan lebih dari 1000 nilai, diproses secara tidak benar,” jelasnya. “Ini memungkinkan penyerang untuk mengeksekusi kueri database yang dibuat melalui injeksi perintah SQL berbahaya, sehingga mengekspos database backend.” Pelanggan Commerce
SAP yang menggunakan B2C Accelerator juga terpengaruh oleh SAP Security Note #3113593, ditandai dengan skor CVSS 7,5. Cacat tersebut dapat memungkinkan penyerang dengan akses tulis langsung ke metadata terkait produk di B2C Accelerator untuk mengeksploitasi kerentanan di perpustakaan jsoup yang bertanggung jawab atas sanitasi metadata sebelum diproses, kata Fritsch, yang memungkinkan penyerang menimbulkan penundaan respons yang lama dan gangguan layanan yang diakibatkannya. dalam penolakan layanan (DoS).
SAP Knowledge Warehouse High Priority Note #3102769
Catatan prioritas tinggi lainnya, di SAP Knowledge Warehouse (SAP KW), adalah #3102769, ditandai dengan skor CVSS 8,8. Catatan tersebut menambal kerentanan skrip lintas situs (XSS) yang dapat mengakibatkan data sensitif diungkapkan.
“Kerentanan memengaruhi komponen tampilan SAP KW dan SAP secara eksplisit menunjukkan bahwa keberadaan murni komponen tersebut di lanskap pelanggan adalah segalanya yang diperlukan untuk menjadi rentan,” Fritsch memperingatkan.
Pelanggan yang tidak secara aktif menggunakan komponen tampilan SAP KW mungkin masih mengalami pelanggaran keamanan, katanya.
Catatan merinci dua kemungkinan solusi:
- Menonaktifkan komponen tampilan yang terpengaruh dengan menambahkan filter dengan aturan kustom tertentu
Menambahkan aturan penulisan ulang ke SAP Web Dispatcher untuk mencegah pengalihan (ini hanya berlaku jika permintaan dirutekan melalui SAP Web Dispatcher)
SAP NetWeaver AS ABAP Catatan Prioritas Tinggi #3123196
Dengan skor CVSS 8.4, Catatan Keamanan SAP #3123196 menjelaskan kerentanan injeksi kode dalam dua metode kelas utilitas di SAP NetWeaver AS ABAP.
“Sangat istimewa pengguna dengan izin untuk menggunakan transaksi SE24 atau SE80 dan mengeksekusi objek pengembangan dapat memanggil metode ini dan memberikan nilai parameter berbahaya yang dapat mengarah pada eksekusi perintah arbitrer pada sistem operasi,” Fritsch elucidated.
SAP memperbaiki masalah dengan mengintegrasikan yang terpengaruh metode langsung ke dalam kelas tanpa kemungkinan melewatkan parameter ke metode tersebut. Fritsch mengatakan bahwa kelas dan metode yang terpengaruh tersedia di bagian “Petunjuk Koreksi” dengan memilih tab “Entri TADIR.”
SAF-T Framework SAP High Priority Security Note #3124094
Yang ini, yang menambal kerentanan direktori-traversal di SAF- T framework, ditandai dengan skor CVSS 7,7. Ini membahas masalah dengan kerangka SAF-T, yang digunakan untuk mengubah data pajak SAP menjadi format File Audit Standar Pajak (SAF-T) – standar internasional OECD untuk pertukaran data elektronik yang memungkinkan otoritas pajak dari semua negara untuk menerima data untuk tujuan pajak – dan back.
Catatan menjelaskan bagaimana validasi informasi jalur yang tidak memadai dalam kerangka kerja memungkinkan penyerang untuk membaca struktur sistem file yang lengkap, Fritsch menjelaskan.
Perpustakaan Sumber Terbuka sebagai Tautan Terlemah
Fritsch menunjuk ke kerentanan Log4j dan kerentanan yang dijelaskan dalam SAP Security Notes #3109577 dan #3113593 yang menunjukkan “bahwa selalu ada risiko yang terlibat saat menggunakan perpustakaan sumber terbuka.”
Selain gajah Log4Shell di dalam ruangan, contoh terbaru yang membuktikan pendapatnya tentang risiko yang ditimbulkan oleh mengandalkan keamanan kode luar termasuk, misalnya, penemuan baru-baru ini dari tiga paket berbahaya yang dihosting di Python Package Index (P yPI) kode repositori yang secara kolektif memiliki lebih dari 12.000 unduhan: unduhan yang berpotensi diterjemahkan ke dalam banyak aplikasi beracun.
Contoh lain dari bagaimana rantai pasokan perangkat lunak telah menjadi metode penyebaran malware yang semakin populer muncul minggu lalu, ketika serangkaian paket berbahaya di repositori kode manajer paket (npm) Node.js yang tampaknya memanen token Discord ditemukan. Pustaka
External nyaman, tetapi apakah mereka sepadan dengan risikonya? Anda harus menghitung untuk mengetahuinya, Fritsch menyimpulkan: “Kemampuan untuk mengimplementasikan fitur baru dalam waktu singkat dibeli dengan harga ketergantungan pada keamanan perpustakaan eksternal. Ingat, produk perangkat lunak hanya seaman komponen perangkat lunak terlemahnya.”