در مقاله جدید سایت افتا که در تاریخ 1400/07/22 منتشر شده است، اشاره شده که چندین آسیبپذیری از جمله CVE-۲۰۲۱-۴۰۴۹۵، CVE-۲۰۲۱-۴۰۴۹۸ و CVE-۲۰۲۱-۴۰۴۹۹ در محصولات SAP امکان حمله DoS، دسترسی به دادههای حساس، تزریق کد و … را برای مهاجم فراهم میکند. در ادامه این مقاله از آتی نگر برخی از این آسیبها را بررسی و نتیجه گیری میکنیم.
چندین آسیب پذیری Denial Service در SAP NetWeaver Application Server برای پلتفرم ABAP و ABAP و البته در نسخه های 740، 750، 751، 752، 753، 754، 755 وجود دارد. در این شرایط، یک مهاجم غیرمجاز می تواند از سرویس SICF / bc / sap برای کاهش عملکرد SAP NetWeaver استفاده کند.
وجود ارادات SAP در نسخههای 700، 701، 702، 730، 731، 740، 750، 751، 752، 753، 754، 755، 756، 785، به مهاجمی با قابلیت ورود به سیستم اجازه میدهد تا با استفاده از POST و فیلد فرم، از تابع احراز هویت برای تکرار اجرای دستور اولیه با درخواست GET و افشای دادههای حساس سوء استفاده کند. این آسیبپذیری معمولاً از طریق شبکه آشکار میشود و در صورتی که عملیات موفقیتآمیز باشد میتواند منجر به افشای دادههایی مانند جزئیات سیستم شود.
SAP BusinessObjects Analysis نیز در نسخه های 420 و 430، به مهاجم اجازه می دهد تا از نقاط پایانی برنامه های خاص برای خواندن داده های حساس سوء استفاده کند. به زبان ساده، نقطه پایانی یک سر کانال ارتباطی است. هنگامی که یک API با سیستم دیگری تعامل می کند، نقاط تماس این ارتباط نقطه پایانی در نظر گرفته می شوند. برای APIها، یک نقطه پایانی میتواند شامل URL سرور یا سرویس باشد. هر نقطه پایانی مکانی است که APIها می توانند از آنجا به منابعی که برای انجام عملکرد خود نیاز دارند دسترسی داشته باشند.
این سوء استفاده می تواند منجر به قرار گرفتن در معرض برخی از داده های خاص سیستم مانند نسخه آن شود.
برخی از آخرین پچهای آپدیت ارائه شده در سایت SAP که میتواند برخی از این مشکلات را برطرف کند را میتوانید از اینجا دانلود کنید. البته برای دانلود باید قبلا در سایت لاگین کرده باشید.
