SAP, fornecedora de software, lançou atualizações de segurança para 19 vulnerabilidades, sendo cinco classificadas como críticas, o que significa que os administradores devem aplicá-las o mais rápido possível para mitigar os riscos associados.
As falhas corrigidas neste mês impactam muitos produtos, mas as falhas de gravidade crítica afetam a plataforma de inteligência empresarial SAP Business Objects Business Intelligence (CMC) e o SAP NetWeaver.
Mais especificamente, as cinco falhas corrigidas desta vez são as seguintes:
CVE-2023-25616
: Vulnerabilidade de injeção de código de gravidade crítica (CVSS v3: 9,9) na plataforma de inteligência empresarial SAP, permitindo que um invasor acesse recursos disponíveis apenas para usuários privilegiados.
A falha afeta as versões 420 e 430.
CVE-2023-23857
: Vulnerabilidade de divulgação de informações, manipulação de dados e DoS de gravidade crítica (CVSS v3: 9,8) que afeta o SAP NetWeaver AS para Java, versão 7.50.
O bug permite que um invasor não autenticado execute operações não autorizadas conectando-se a uma interface aberta e acessando serviços via API de diretório.
CVE-2023-27269
: Problema de travessia de diretório de gravidade crítica (CVSS v3: 9,6) que afeta o SAP NetWeaver Application Server para ABAP.
A falha permite que um usuário não administrador sobrescreva arquivos do sistema.
Afeta as versões 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 e 791.
CVE-2023-27500
: Travessia de diretório de gravidade crítica (CVSS v3: 9,6) no SAP NetWeaver AS para ABAP.
Um invasor pode explorar a falha no SAPRSBRO para sobrescrever arquivos do sistema, causando danos ao ponto final vulnerável.
Afeta as versões 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757.
CVE-2023-25617
: Vulnerabilidade de execução de comando de gravidade crítica (CVSS v3: 9,0) na plataforma de inteligência empresarial SAP Business Objects Business Intelligence, versões 420 e 430.
A falha permite que um invasor remoto execute comandos arbitrários no sistema operacional usando o BI Launchpad, Central Management Console ou um aplicativo personalizado baseado no SDK público java, sob certas condições.
Além disso, o patch de segurança mensal da SAP corrigiu quatro falhas de gravidade alta e dez vulnerabilidades de gravidade média.
As falhas de segurança nos produtos SAP são excelentes alvos para atores de ameaças, porque são comumente usados por grandes organizações em todo o mundo e podem servir como pontos de entrada para sistemas extremamente valiosos.
A SAP é a maior fornecedora de ERP do mundo, com 24% de participação de mercado global, com 425.000 clientes em 180 países.
Mais de 90% das empresas da lista Forbes Global 2000 usam seus produtos de ERP, SCM, PLM e CRM.
Em fevereiro de 2022, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) instou os administradores a corrigir um conjunto de vulnerabilidades graves que afetam os aplicativos de negócios da SAP para evitar roubo de dados, ataques de ransomware e interrupção de processos e operações críticas.
Em abril de 2021, atores de ameaças foram observados atacando falhas corrigidas em sistemas SAP não corrigidos para obter acesso às redes corporativas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...