В рамках августовского обновления безопасности компания SAP выпустила ряд критических патчей, устраняющих 17 уязвимостей в своих продуктах. Среди них особое внимание специалистов по кибербезопасности привлекли две критические уязвимости, потенциально позволяющие злоумышленникам получить несанкционированный доступ к системам и данным организаций.
Критическая уязвимость обхода аутентификации в SAP BusinessObjects
Наиболее серьезной из обнаруженных уязвимостей является CVE-2024-41730, получившая максимальную оценку 9,8 по шкале CVSS (Common Vulnerability Scoring System). Данная уязвимость затрагивает SAP BusinessObjects Business Intelligence Platform версий 430 и 440, позволяя неавторизованным пользователям обойти механизмы аутентификации.
Проблема возникает при включенной функции Single Sign-On для Enterprise-аутентификации. В этом случае злоумышленник может использовать REST-эндпоинт для получения действительного токена входа в систему. Последствия эксплуатации этой уязвимости могут быть катастрофическими, включая полную компрометацию системы и нарушение конфиденциальности, целостности и доступности данных.
Уязвимость подделки запросов на стороне сервера в SAP Build Apps
Вторая критическая уязвимость, CVE-2024-29415, оцененная в 9,1 балл по шкале CVSS, затрагивает приложения, созданные с использованием SAP Build Apps версии 4.11.130 и более ранних. Эта уязвимость связана с некорректной обработкой IP-адресов и может привести к подделке запросов на стороне сервера (SSRF).
Проблема возникает из-за ошибки в пакете IP для Node.js, который неправильно интерпретирует локальный адрес 127.0.0.1 в восьмеричном представлении как публичный и глобально маршрутизируемый. Это может позволить злоумышленникам обойти ограничения безопасности и получить доступ к внутренним ресурсам.
Дополнительные уязвимости высокой степени риска
Помимо двух критических уязвимостей, SAP также устранила четыре уязвимости высокой степени риска, получившие оценки от 7,4 до 8,2 по шкале CVSS. Хотя детали этих уязвимостей не раскрываются, их наличие подчеркивает важность своевременного обновления систем SAP.
Выпуск этих патчей безопасности SAP подчеркивает критическую важность регулярного обновления корпоративного программного обеспечения. Организациям, использующим затронутые продукты SAP, настоятельно рекомендуется незамедлительно применить последние обновления безопасности. Кроме того, компаниям следует регулярно проводить аудит безопасности своих систем, внедрять многоуровневую защиту и обучать сотрудников основам кибербезопасности для минимизации рисков компрометации критически важных бизнес-систем.
