Kriittinen SAP-haavoittuvuus tulisi päivittää välittömästi

Haavoittuvuus3/2022CVSS 10

SAP:n ICM-komponentissa on erittäin kriittinen haavoittuvuus, joka tulisi päivittää välittömästi.

Helmikuun toisena tiistaina eli päivitystiistaina (Patch Tuesday) julkaistiin useita haavoittuvuuksien korjauspäivityksiä. 

Joukossa oli useita erittäin kriittisiä päivityksiä, jotka tulisi asentaa niin pian kuin mahdollista. SAP julkaisi päivityksen SAP Internet Communication Manager (ICM)-komponentin haavoittuvuuteen CVE-2022-22536. Haavoittuvuuden hyväksikäyttö on SAP:n oman tiedotteen mukaan erittäin yksinkertaista.

Sovelluksissa oleva ICM-komponentti on haavoittuva erilaisille pyyntöjen ketjutushyökkäyksille (request smuggling, request concatenation). ICM-komponentti on käytössä lähes kaikissa SAP-tuotteissa, jotka käyttävät internet-yhteyttä.

SAP on kehottanut asiakkaitaan päivittämään tuotteensa välittömästi. 

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

SAP Web Dispatcher, versiot - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
SAP Content Server, versiot - 7.53
SAP NetWeaver ja  ABAP Platform, versiot - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49