Спецпроекты

Критическая проблема в бизнес-платформе SAP получила индекс угрозы 9,9 из 10 возможных

Безопасность Бизнес

Уязвимость в нескольких версиях платформы SAP для электронной коммерции, приводит к полной компрометации хоста и приложения. Патч не устраняет проблему полностью.

Индекс угрозы 9,9 из 10

В платформе SAP Commerce обнаружена критическая уязвимость, допускающая запуск произвольного кода, что может привести к полной компрометации приложения.

Платформа для электронной коммерции SAP Commerce сортирует данные, например, информацию о продуктах — для последующего распространения по множеству каналов. Это упрощает бизнесу работу со сложными цепочками поставок.

Уязвимость, получившая обозначение CVE-2021-21477, затрагивает версии 1808, 1811, 1905, 2005 and 2011. Ее индекс угрозы близок к абсолютному — 9,9 балла из 10 возможных по шкале CVSS.

Уязвимость позволяет некоторым пользователям с «требуемым уровнем привилегий» редактировать настройки в движке Drools, который определяет политики платформы. Эти правила, в свою очередь, могут использоваться для управления сложными сценариями по принятию решений.

sap600.jpg
Критическая уязвимость в SAP Commerce допускает запуск произвольного кода

В Drools присутствует отдельно взятое правило, которое содержит атрибут ruleContent, который регулирует написание сценариев. Обычно доступ к ruleContent возможен только для пользователей с высокими привилегиями, например, администраторов.

Однако, как выяснили эксперты компании Onapsis, из-за неправильной настройки пользовательских разрешений, выставленных по умолчанию в SAP Commerce, некоторые пользователи и группы пользователей с низкими привилегиями получили возможность менять атрибут ruleContent и получать несанкционированный доступ к этим средствам написания скриптов. Таким образом, пользователь с низкими привилегиями может внедрить вредоносный код в эти скрипты, скомпрометировать весь хост и нарушить нормальную работу приложения.

Как сообщили CNews в российском офисе SAP, уязвимость в нескольких версиях платформы SAP Commerce были исправлены 9 февраля 2021 г. «Рекомендации по безопасности доступны для загрузки на портале поддержки SAP, клиентам необходимо применить их, чтобы максимально обезопасить решения SAP, которые они используют, — добавили собеседники редакции».

Медицинский ум: чем может помочь искусственный интеллект здравоохранению
Искусственный интеллект

Впрочем, хотя патч уже выпущен, эксперты Onapsis указывают, что он исправляет проблему «заводских» разрешений только в свежих установках SAP Commerce, для уже существующих настроек требуются дополнительные операции вручную.

И еще шесть критических уязвимостей

Всего последний бюллетень безопасности SAP насчитывает семь пунктов, но только один из них связан со свежей, вышеописанной уязвимостью. Остальные шесть — это обновление сведений по прежним уязвимостям, две из которых также носят критический характер. Одна оценена в 10 из 10 баллов. Никаких подробностей, кроме того, что она затрагивает браузерные инструменты для GoogleChromium, поставляемые вместе с бизнес-клиентом SAP, не опубликованы. CVE-индекс также не присваивался.

Вторая критическая уязвимость — CVE-2021-21465 — застрагивает SAP Business Warehouse, разработку для сбора и хранения данных на базе платформы SAP NetWeaver ABAP. Эта уязвимость допускает запуск любых произвольных запросов к базе данных непривилегированными пользователями, вплоть до SQL-команд, которые система будет выполнять безо всякой очистки. То есть, речь идет об SQL-инъекции с последующей полной компрометацией системы.

«Видимо, это чей-то прямой недосмотр, — комментирует первую из описанных уязвимостей Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Только очень ограниченное количество администраторов должно иметь возможность что-то редактировать на уровне установления политик, особенно если речь идет о правилах, затрагивающих всю платформу. Высокий балл CVSS, скорее всего, связан с тем, что уязвимость очень легко эксплуатировать».