Критическая проблема в бизнес-платформе SAP получила индекс угрозы 9,9 из 10 возможных

Индекс угрозы 9,9 из 10

В платформе SAP Commerce обнаружена
критическая уязвимость, допускающая запуск произвольного кода, что может
привести к полной компрометации приложения.

Платформа для электронной
коммерции SAP Commerce
сортирует данные, например, информацию о продуктах — для последующего
распространения по множеству каналов. Это упрощает бизнесу работу со сложными
цепочками поставок.

Уязвимость, получившая
обозначение CVE-2021-21477,
затрагивает версии 1808, 1811, 1905, 2005 and 2011. Ее индекс угрозы близок к абсолютному — 9,9
балла из 10 возможных по шкале CVSS.

Уязвимость позволяет
некоторым пользователям с «требуемым уровнем привилегий» редактировать
настройки в движке Drools, который определяет политики платформы. Эти правила, в свою очередь, могут
использоваться для управления сложными сценариями по принятию решений.

Критическая уязвимость в SAP Commerce допускает запуск произвольного кода

В Drools присутствует отдельно взятое правило, которое
содержит атрибут ruleContent, который регулирует написание сценариев. Обычно доступ к ruleContent возможен только
для пользователей с высокими привилегиями, например, администраторов.

Однако, как выяснили
эксперты компании Onapsis, из-за неправильной настройки пользовательских разрешений, выставленных по
умолчанию в SAP Commerce,
некоторые пользователи и группы пользователей с низкими привилегиями получили
возможность менять атрибут ruleContent и получать несанкционированный доступ к этим
средствам написания скриптов. Таким образом, пользователь с низкими
привилегиями может внедрить вредоносный код в эти скрипты, скомпрометировать
весь хост и нарушить нормальную работу приложения.

Хотя патч уже выпущен,
эксперты Onapsis указывают, что он исправляет проблему «заводских» разрешений только в
свежих установках SAP Commerce, для уже существующих настроек требуются
дополнительные операции вручную.

И еще шесть критических уязвимостей

Всего последний бюллетень
безопасности SAP насчитывает семь пунктов, но только один из них связан со свежей,
вышеописанной уязвимостью. Остальные шесть — это обновление сведений по прежним
уязвимостям, две из которых также носят критический характер. Одна оценена в 10
из 10 баллов. Никаких подробностей, кроме того, что она затрагивает браузерные
инструменты для GoogleChromium, поставляемые вместе с бизнес-клиентом SAP, не опубликованы. CVE-индекс также не
присваивался.

Вторая критическая
уязвимость — CVE-2021-21465 — застрагивает SAP Business Warehouse, разработку для сбора и хранения данных на базе
платформы SAP NetWeaver ABAP. Эта
уязвимость допускает запуск любых произвольных запросов к базе данных
непривилегированными пользователями, вплоть до SQL-команд, которые система будет выполнять безо
всякой очистки. То есть, речь идет об SQL-инъекции с последующей полной компрометацией
системы.

«Видимо, это чей-то прямой недосмотр, — комментирует
первую из описанных уязвимостей Михаил
Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Только
очень ограниченное количество администраторов должно иметь возможность что-то
редактировать на уровне установления политик, особенно если речь идет о
правилах, затрагивающих всю платформу. Высокий балл CVSS, скорее всего, связан с
тем, что уязвимость очень легко эксплуатировать».