Kritiska sårbarheter i SAP-produkter

SAP varnar om kritiska sårbarheter i bland annat Commerce samt SAP NetWeaver ABAP Server och ABAP Platform i sin månatliga säkerhetsuppdatering för juni månad. Säkerhetsuppdateringen hanterar totalt 17 sårbarheter, varav två är mycket kritiska. Dessa har fått 9.9 respektive 9 av 10 på CVSS-skalan [1].

CVE-2021-27602 SAP Commerce är en uppdaterad patch från april [2]. Sårbarheten kan utnyttjas av en auktoriserad angripare för att injicera och fjärrköra skadlig kod vilket kan äventyra programmets konfidentialitet, integritet och tillgänglighet.

CVE-2021-27610 SAP NetWeaver AS ABAP och ABAP Platform, orsakad av fel när ABAP-server inte korrekt identifierar om kommunikation via RFC eller HTTP sker mellan applikationsservrarna i samma SAP-system eller med servrar utanför samma system. En angripare kan med stulna kontouppgifter för externa RFC- eller HTTP-anrop, upprätta en anslutning till det drabbade SAP-systemet, där ett skadligt externt program låtsas vara ett internt anrop [3].

Påverkade produkter

Säkerhetsuppdateringen berör bland annat följande produkter:

SAP Commerce
SAP NetWeaver ABAP Server och ABAP Platform
SAP NetWeaver AS för JAVA

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999

[2] https://www.cert.se/2021/04/kritiska-sarbarheter-i-sap-produkter

[3] https://www.securityweek.com/sap-patches-critical-vulnerabilities-netweaver