جدیدترین اخبار دنیای فناوری اطلاعات 

جدیدترین خبرها

  • 111
  • 7 مرتبه
آسیب‌پذیری بحرانی در SAP NETWEAVER AS JAVA

آسیب‌پذیری بحرانی در SAP NETWEAVER AS JAVA

1399/05/02 11:46:12 ق.ظ

آسیب‌پذیری بحرانی در SAP NETWEAVER AS JAVA با انتشار به‌روزرسانی توسط این شرکت برطرف شد.

 SAP روز سیزدهم ژوئیه ۲۰۲۰، یک به‌روزرسانی امنیتی برای مدیریت آسیب‌پذیری بحرانی منتشر کرد. این آسیب‌پذیری با شناسه CVE-۲۰۲۰-۶۲۸۷ بر روی SAP NetWeaver Application Server (AS) Java component LM Configuration Wizard تأثیر می‌گذارد. یک مهاجم نامعتبر می‌تواند از این آسیب‌پذیری از طریق پروتکل HTTP، سوء‌استفاده کند تا کنترل برنامه‌های مورد اعتماد SAP را به دست بگیرد. این آسیب‌پذیری به دلیل عدم تأیید هویت در یک مؤلفه وب مربوط به SAP NetWeaver AS برای جاوا، معروف شده است که اجازه چندین فعالیت ممتاز در سیستم SAP را ایجاد می‌کند.

یک مهاجم از راه دور و غیرمعتبر، در صورت سوء‌استفاده موفقیت‌آمیز می‌تواند از طریق ایجاد کاربران ممتاز و اجرای دستورات سیستم عامل دلخواه با امتیازات حساب کاربری سرویس SAP، ( adm) دسترسی نامحدود به سیستم‌های SAP را به‌دست آورد که به منزله دسترسی نامحدود به پایگاه داده SAP است و قادر است فعالیت‌های نگهداری برنامه، مانند خاموش کردن برنامه‌های SAP متعهد شده را انجام دهد. محرمانه بودن، یکپارچگی و در دسترس بودن داده‌ها و فرایندهای میزبانی شده توسط برنامه SAP در معرض خطر این آسیب‌پذیری قرار دارند.

با توجه به اهمیت برنامه‌های تجاری SAP، آژانس امنیت زیرساخت‌ها و امنیت سایبری (CISA) به سازمان‌ها توصیه می‌کند تا وصله‌گذاری سیستم‌های در معرض اینترنت و سپس سیستم‌های داخلی را در اولویت قرار دهند. سازمان‌هایی که قادر به وصله‌گذاری فوری نیستند، باید با غیرفعال کردن سرویس LM Configuration Wizard، آسیب‌پذیری را کاهش دهند. اگر این گزینه‌ها در دسترس نباشند یا این اقدامات بیش از ۲۴ ساعت به طول انجامد، CISA اکیداً توصیه می‌کند که فعالیت‌های SAP NetWeaver AS پایش شود. به دلیل انتشار وصله‌ها به صورت عمومی امکان سوءاستفاده از سیستم‌های وصله‌نشده فراهم شده است.

این آسیب‌پذیری به‌طور پیش‌فرض در برنامه‌های SAP اجرا شده بر روی SAP NetWeaver AS Java ۷.۳ و تمامی نسخه‌های جدیدتر (تا SAP NetWeaver ۷.۵) وجود دارد. راه‌حل‌های تجاری بالقوه آسیب‌پذیر SAP، آسیب‌پذیری‌های مبتنی بر جاوای SAP را شامل می‌شوند (اما محدود به این موارد نیست)؛ مانند:
برنامه‌ریزی منابع سازمانی SAP،
مدیریت چرخه عمر محصول SAP،
مدیریت ارتباط با مشتری SAP،
مدیریت زنجیره تأمین SAP،
مدیریت روابط تأمین‌کننده SAP،
انبار تجاری SAP NetWeaver،
هوش تجاری SAP،
زیرساخت‌های سیار SAP NetWeaver،
پورتال سازمانی SAP،
تنظیم هماهنگی فرایند / ادغام فرایند SAP،
مدیر راه‌حل SAP،
زیرساخت توسعه SAP NetWeaver،
زمان‌بندی فرایند مرکزی SAP،
محیط ترکیب SAP NetWeaver،
مدیر چشم‌انداز SAP.

CISA کاربران و سرپرستان محصولات SAP را تشویق می‌کند:
- سیستم‌های SAP را برای همه آسیب‌پذیری‌های شناخته‌شده ازجمله فقدان وصله‌های امنیتی، پیکربندی خطرناک سیستم و آسیب‌پذیری در کد سفارشی SAP اسکن کنند.
- وصله‌های امنیتی مفقود شده را بلافاصله اعمال کنند و وصله‌گذاری امنیتی را به عنوان بخشی از یک فرایند دوره‌ای نهادینه کنند.
- تجزیه‌و‌تحلیل سیستم‌ها برای مجوزهای کاربری مخرب یا مفرط.
- نظارت بر سیستم‌ها برای شاخص‌های سازش ناشی از سوء‌استفاده از آسیب‌پذیری‌ها.
- نظارت بر سیستم‌ها برای رفتار مشکوک کاربر، ازجمله کاربران ممتاز و غیر ممتاز.
- برای بهبود وضعیت امنیتی در برابر حملات هدفمند پیشرفته، هوش تهدید در مورد آسیب‌پذیری‌های جدید را اعمال کنند.
-‌ پایه‌های امنیتی جامع برای سیستم‌ها تعیین کنند و به‌طور مداوم بر نقض انطباق نظارت کنند و انحرافات تشخیص داده‌شده را اصلاح کنند.
-‌ این توصیه‌ها در سیستم‌های SAP در محیط‌های عمومی، خصوصی و ترکیبی اعمال می‌شوند.
- از پیکربندی ایمن چشم‌انداز SAP خود اطمینان حاصل کنند
- تنظیمات امنیتی رابط‌های SAP بین سیستم‌ها و برنامه‌ها را شناسایی و تجزیه‌و‌تحلیل کنند تا خطرات ناشی از این روابط مورد اعتماد را دریابند.