A SAP lançou seu pacote de patch de segurança de agosto de 2024, abordando 17 vulnerabilidades, incluindo um bypass de autenticação crítico que poderia permitir que atacantes remotos comprometessem completamente o sistema.
Esta vulnerabilidade, identificada como CVE-2024-41730 e atribuída uma pontuação de gravidade de 9,8 no sistema CVSS v3.1, é uma falha de “verificação de autenticação ausente” que afeta as versões 430 e 440 do SAP BusinessObjects Business Intelligence Platform, e pode ser explorada sob condições específicas.
De acordo com a descrição da falha pela SAP, “No SAP BusinessObjects Business Intelligence Platform, se o Single Sign-On estiver habilitado para autenticação empresarial, um usuário não autorizado poderá obter um token de logon usando um ponto de extremidade REST.”
“O invasor pode comprometer totalmente o sistema, impactando severamente a confidencialidade, a integridade e a disponibilidade.”
A segunda vulnerabilidade crítica abordada neste patch, CVE-2024-29415, tem uma pontuação CVSS v3.1 de 9,1 e envolve uma falha de falsificação de solicitação do lado do servidor em aplicativos criados com SAP Build Apps anteriores à versão 4.11.130.
Essa falha está relacionada a uma fraqueza no pacote ‘IP’ para Node.js, que identifica incorretamente ‘127.0.0.1’ como um endereço IP público e globalmente roteável quando a representação octal é usada.
Este problema persiste devido a uma correção incompleta para uma falha semelhante (CVE-2023-42282), deixando alguns casos vulneráveis a ataques.
Além disso, o boletim da SAP deste mês destaca quatro outras vulnerabilidades categorizadas como “alta gravidade” (pontuação CVSS v3.1: 7,4 a 8,2), que são:
- CVE-2024-42374 – Uma vulnerabilidade de injeção XML no SAP BEx Web Java Runtime Export Web Service, afetando as versões BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 e BIWEBAPP 7.5.
- CVE-2023-30533 – Um problema de poluição de protótipo no SAP S/4 HANA, especificamente no módulo Manage Supply Protection, impactando versões de biblioteca do SheetJS CE abaixo de 0.19.3.
- CVE-2024-34688 – Uma vulnerabilidade de negação de serviço (DoS) no SAP NetWeaver AS Java, afetando particularmente o componente Meta Model Repository versão MMR_SERVER 7.5.
- CVE-2024-33003 – Uma vulnerabilidade de divulgação de informações no SAP Commerce Cloud, afetando as versões HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 e COM_CLOUD 2211.
Aplique atualizações agora
Como o maior fornecedor de ERP do mundo, com produtos utilizados por mais de 90% das empresas na lista Forbes Global 2000, a SAP é um alvo principal para hackers que buscam falhas críticas de desvio de autenticação que podem conceder a eles acesso a redes corporativas valiosas.
Em fevereiro de 2022, os EUA. A Cybersecurity e a Infrastructure Security Agency (CISA) instaram fortemente os administradores a corrigir vulnerabilidades graves em aplicativos de negócios SAP para evitar roubo de dados, ataques de ransomware e interrupções em operações de missão crítica.
Entre junho de 2020 e março de 2021, agentes de ameaças exploraram sistemas SAP sem patches para infiltrar redes corporativas em pelo menos 300 instâncias.
Fonte: BleepingComputer, Bill Toulas
