SAP heeft onlangs patches uitgebracht voor een reeks kwetsbaarheden in zijn software. Het ging om zogenoemde ICAMAD-kwetsbaarheden en enkele zeer kritieke Log4j-kwetsbaarheden.

De ERP-gigant heeft acute belangrijke patches uitgebracht voor kwetsbaarheden die onlangs door securityspecialist Onapsis werden ontdekt. De kwetsbaarheden stellen aanvallers in staat verschillende kwaadaardige activiteiten uit te voeren bij gebruikers, de zakelijke informatie en de processen. Deze kwetsbaarheden zorgen er uiteindelijk voor dat niet-gepatchte SAP-applicaties kunnen worden gecompromitteerd.

Kwetsbaarheid in HTTP(S)-protocol

Het gaat hierbij om de kwetsbaarheid van het Internet Communication Manager (ICM)-protocol van SAP. Dit protocol verzorgt binnen de SAP-oplossingen de HTTP(S)-communicatie.

Aangezien dit protocol standaard is verbonden met het internet en niet-vertrouwde netwerken, kunnen kwetsbaarheden voor grote risico’s zorgen. Met een enkel verzoek kunnen hackers alle sessie- en authenticatiegegevens van slachtoffers in plain tekst stelen en deze aanpassen voor het beïnvloeden van het gedrag van de getroffen applicaties.

Volgens SAP zijn de kwetsbaarheden tot op heden niet misbruikt. Er is geen bewijs gevonden dat systemen van klanten zijn getroffen. Samen met securityspecialist Onapsis is een tool ontwikkeld waarmee klanten hun systemen op deze kwetsbaarheid kunnen checken. De kwetsbaarheden zijn inmiddels gepatcht.

Zeer kritieke Log4j-kwetsbaarheden

SAP heeft verder ook een aantal Log4j-kwetsbaarheden van patches voorzien. Drie van deze kwetsbaarheden hadden het CVE-niveau 10 meegekregen. Deze type kwetsbaarheden worden als zeer kritiek geacht. Welke Log4j-kwetbaarheden het stempel hebben meegekregen, is onbekend. Klanten van SAP wordt opnieuw aangeraden de patches zo snel mogelijk door te voeren.