ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Perşembe günü bir ekleme yapmak için harekete geçti. kritik SAP güvenlik açığı onun için Bilinen Sömürülen Güvenlik Açıkları Kataloğuaktif sömürü kanıtlarına dayanmaktadır.
Söz konusu sorun, CVE-2022-22536CVSS güvenlik açığı puanlama sisteminde 10.0 olası en yüksek risk puanını alan ve Şubat 2022 için Salı Yama güncellemelerinin bir parçası olarak SAP tarafından ele alındı.
HTTP istek kaçakçılığı güvenlik açığı olarak tanımlanan eksiklik, aşağıdaki ürün sürümlerini etkiler:
- SAP Web Dispatcher (Sürümler – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
- SAP İçerik Sunucusu (Sürüm – 7.53)
- SAP NetWeaver ve ABAP Platformu (Sürümler – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)
CISA bir uyarıda, “Kimliği doğrulanmamış bir saldırgan, bir kurbanın isteğini keyfi verilerle hazırlayabilir, bu da kurbanı taklit eden veya aracı web önbelleklerini zehirleyen işlevlerin yürütülmesine izin verebilir” dedi.
Onapsis, “Başka herhangi bir geçerli mesajdan ayırt edilemeyen ve herhangi bir kimlik doğrulama gerektirmeyen basit bir HTTP isteği, başarılı bir kullanım için yeterlidir.” keşfetti kusur, notlar. “Sonuç olarak, bu, saldırganların bundan yararlanmasını kolaylaştırır ve güvenlik duvarları veya IDS/IPS gibi güvenlik teknolojilerinin bunu algılamasını daha zor hale getirir (kötü amaçlı bir yük sunmadığından).”
SAP zayıflığının yanı sıra ajans, Apple (CVE-2022-32893 ve CVE-2022-32894) ve Google (CVE-2022-2856) tarafından bu hafta açıklanan yeni kusurların yanı sıra daha önce belgelenen Microsoft ile ilgili hatalar (CVE-2022-21971 ve CVE-2022-26923) ve Palo Alto Networks PAN-OS’ta bir uzaktan kod yürütme güvenlik açığı (CVE-2017-15944CVSS puanı: 9.8) 2017’de açıklandı.
CVE-2022-21971 (CVSS puanı: 7.8), Windows Çalışma Zamanı’nda Microsoft tarafından Şubat 2022’de çözülen bir uzaktan kod yürütme güvenlik açığıdır. Mayıs 2022’de düzeltilen CVE-2022-26923 (CVSS puanı: 8.8), bir ayrıcalıkla ilgilidir. Active Directory Etki Alanı Hizmetlerinde yükseltme hatası.
Microsoft, CVE-2022-26923 danışma belgesinde, “Kimliği doğrulanmış bir kullanıcı, sahip olduğu veya yönettiği bilgisayar hesaplarındaki öznitelikleri değiştirebilir ve Active Directory Sertifika Hizmetleri’nden Sistem’e ayrıcalık yükselmesine izin verecek bir sertifika alabilir.”
CISA bildirimi, geleneksel olarak olduğu gibi, tehdit aktörlerinin bunlardan daha fazla yararlanmasını önlemek için güvenlik açıklarıyla ilişkili vahşi saldırıların teknik ayrıntılarına ışık tutar.
Potansiyel tehditlere maruz kalmayı azaltmak için Federal Sivil Yürütme Şubesi (FCEB) kurumlarının ilgili yamaları 8 Eylül 2022’ye kadar uygulamaları zorunludur.