Kriittinen SAP-haavoittuvuus tulisi päivittää välittömästi | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen SAP-haavoittuvuus tulisi päivittää välittömästi

10. helmikuuta 2022 klo 13.11

SAP:n ICM-komponentissa on erittäin kriittinen haavoittuvuus, joka tulisi päivittää välittömästi.

Helmikuun toisena tiistaina eli päivitystiistaina (Patch Tuesday) julkaistiin useita haavoittuvuuksien korjauspäivityksiä. 

Joukossa oli useita erittäin kriittisiä päivityksiä, jotka tulisi asentaa niin pian kuin mahdollista. SAP julkaisi päivityksen SAP Internet Communication Manager (ICM)-komponentin haavoittuvuuteen CVE-2022-22536. Haavoittuvuuden hyväksikäyttö on SAP:n oman tiedotteen mukaan erittäin yksinkertaista.

Sovelluksissa oleva ICM-komponentti on haavoittuva erilaisille pyyntöjen ketjutushyökkäyksille (request smuggling, request concatenation). ICM-komponentti on käytössä lähes kaikissa SAP-tuotteissa, jotka käyttävät internet-yhteyttä.

SAP on kehottanut asiakkaitaan päivittämään tuotteensa välittömästi. 

Haavoittuvuuden kohde

SAP Web Dispatcher, versiot - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
SAP Content Server, versiot - 7.53
SAP NetWeaver ja  ABAP Platform, versiot - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49

The Record: CISA and SAP warn about major vulnerability (ulkoinen linkki)
SAP: SAP Security Patch Day - February 2022 (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.