Een kritieke authenticatiekwetsbaarheid geeft hackers de mogelijkheid het SAP BusinessObjects Business Intelligence-platform binnen te dringen op afstand en dit volledig misbruiken. De ERP- en cloudgigant heeft inmiddels dit probleem samen met 16 andere kwetsbaarheden opgelost.
Volgens de maandelijkse security release van SAP gaat het om een kritieke kwetsbaarheid die hackers in staat stelt op afstand de SAP BusinessObjects BI-suite te compromitteren. Dit heeft voor getroffen bedrijven een enorme impact op hun betrouwbaarheid, integriteit en beschikbaarheid, volgens SAP.
Dit is mogelijk op versies 430 en 440 van het platform. Meer specifiek betreft de aangetroffen kritieke kwetsbaarheid CVE-2024-41730 een ‘ontbrekende authenticatie-check’ bug. Wanneer binnen het SAP BusinessObjects BI-platform Single Sign On voor Enterprise-authenticatie is geactiveerd, kunnen hackers een login token verkrijgen met behulp van een op REST-gebaseerde endpoint. Hackers kunnen vervolgens het systeem volledig binnendringen en compromitteren.
Tweede kritieke kwetsbaarheid
Naast deze kwetsbaarheid is ook nog een andere kritieke fout, CVE-2024-29415, aangetroffen in SAP-systemen. Dit is een server-side request forgery-fout in versies van SAO Build Apps in versies ouder dan versie 4.11.130.
Het gaat hierbij om een kwetsbaarheid in het IP-package voor Node.js voor het checken of een specifiek IP-adres publiek of privaat is. Door de fout wordt soms het IP-adres ‘127.0.0.1’ verkeerd als een publiek en wereldwijd routeerbaar adres herkend.
Veertien andere gefixte kwetsbaarheden
Naast deze twee zeer kritieke kwetsbaarheden heeft SAP ook fixes uitgebracht voor heel wat andere kwetsbaarheden. Het gaat om kwetsbaarheden die werden gevonden in onder meer de SAP BEx Web Java Runtime Export Web Service, SAP S4/HANA, SAP NetWeaver AS Java en SAP Commerce Cloud.
De ERP- en cloudgigant roept gebruikers van zijn oplossingen op de patches direct te installeren.
Lees ook: SAP ziet 33 procent meer Cloud ERP-omzet