0
0
Vulnerabilidades de gravidade crítica afetam o SAP Diagnostics Agent e o SAP BusinessObjects Business Intelligence Platform
A SAP lançou atualizações de segurança para vários de seus produtos, que incluem correções para duas vulnerabilidades de gravidade crítica que afetam o SAP Diagnostics Agent e o SAP BusinessObjects Business Intelligence Platform. No total, a fabricante de software alemã publicou 24 notas, das quais 19 dizem respeito a novos assuntos de importância variável e cinco são atualizações de boletins anteriores.
Os três problemas mais críticos corrigidos desta vez são:
- CVE-2023-27267: validação de entrada insuficiente e problema de autenticação ausente afetando o OSCommand Bridge do SAP Diagnostics Agent, versão 720, o que permite que um invasor execute scripts em agentes conectados e comprometa totalmente o sistema. Pontuação do CVSS v3.1: 9.0.
- CVE-2023-28765: vulnerabilidade de divulgação de informações que afeta a plataforma SAP BusinessObjects Business Intelligence (gerenciamento de promoção), versões 420 e 430, permitindo que um invasor com privilégios básicos obtenha acesso ao arquivo lcmbiar e o descriptografe. Isso permitiria ao invasor acessar as senhas dos usuários da plataforma e assumir suas contas para realizar ações maliciosas adicionais. Pontuação do CVSS v3.1: 9.8.
- CVE-2023-29186: falha de travessia de diretório afetando as versões 707, 737, 747 e 757 do SAP NetWeaver, permitindo que um invasor carregue e sobrescreva arquivos no servidor SAP vulnerável. Pontuação do CVSS v3.1: 8.7.
As 11 falhas de segurança restantes divulgadas no último boletim de segurança da SAP dizem respeito a vulnerabilidades de gravidade baixa a média. Embora esses problemas geralmente não sejam considerados prioritários para correção, eles ainda são aproveitados em ataques, especialmente como parte de cadeias de ataque complexas, portanto, devem ser tratados de qualquer maneira.
Os hackers estão sempre em busca de falhas de gravidade crítica em produtos amplamente implantados, como os da SAP, que são comuns em grandes redes corporativas.
A SAP é a maior fornecedora de ERP do mundo, com 24% de participação no mercado global com 425 mil clientes em 180 países. Mais de 90% das empresas da lista Forbes Global 2000 usam seus produtos ERP, SCM, PLM e CRM.
Em fevereiro ao ano passado, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA instou os administradores a corrigir um conjunto de vulnerabilidades graves que afetam os aplicativos de negócios SAP para evitar roubo de dados, ataques de ransomware e interrupção de processos e operações de missão crítica.Portanto, é extremamente importante para os administradores do sistema SAP aplicar os patches de segurança disponíveis o mais rápido possível
FONTE: CISO ADVISOR