SAP heeft in zijn maandelijkse beveiligingsupdate vijftien kwetsbaarheden verholpen, waaronder vier kritieke beveiligingslekken in NetWeaver en Commerce Cloud. Vooral twee problemen in het NetWeaver-platform springen eruit vanwege hun hoge risicoscore en de mogelijke impact op zakelijke omgevingen.
De ernstigste kwetsbaarheid bevindt zich volgens BleepingComputer in de SAML-authenticatiefuncties van SAP NetWeaver. Door een fout in de verwerking van digitaal ondertekende XML-berichten kunnen aanvallers gemanipuleerde identiteitsgegevens aanbieden die door het systeem als legitiem worden beschouwd. In een omgeving waar SAML wordt gebruikt voor toegangsbeheer kan dat leiden tot ongeautoriseerde toegang tot gevoelige informatie.
Daarnaast heeft SAP een kwetsbaarheid verholpen die geheugenbeschadiging kan veroorzaken binnen de ABAP Application Server. Volgens de leverancier kan een aanvaller hiervoor speciaal opgestelde RFC-verzoeken gebruiken. Opvallend is dat hiervoor geen voorafgaande authenticatie nodig is, waardoor de drempel voor misbruik relatief laag ligt.
Ook Commerce Cloud getroffen
Niet alleen NetWeaver kreeg aandacht in de beveiligingsronde van juni. SAP heeft eveneens een ernstig beveiligingsprobleem opgelost in Commerce Cloud en Data Hub. Dat lek hangt samen met de Spring Security-component die in deze producten wordt gebruikt. Daarnaast werd een kwetsbaarheid verholpen waarmee aanvallers via directory traversal toegang zouden kunnen krijgen tot bestanden buiten de bedoelde systeemmappen van de Java-gebaseerde NetWeaver Application Server.
Naast deze kritieke problemen heeft SAP nog diverse andere beveiligingskwetsbaarheden aangepakt. Het gaat onder meer om fouten die SQL-injecties, cross-site scripting, e-mailspoofing en het omzeilen van autorisaties mogelijk maken. Ook zijn meerdere beveiligingsproblemen in Apache Tomcat opgelost die van invloed zijn op Commerce Cloud-omgevingen.
Prioriteit voor beheerders
SAP publiceert de technische details van de kwetsbaarheden uitsluitend via zijn beveiligingsportaal voor klanten. Daardoor is niet publiek bekend of de lekken al actief worden misbruikt. Wel benadrukt de leverancier dat organisaties de beschikbare updates zo snel mogelijk moeten installeren.
Vooral de kwetsbaarheid in de SAML-authenticatie en het geheugenlek in de ABAP-server verdienen volgens SAP onmiddellijke aandacht. Beide problemen kregen een zeer hoge CVSS-score en raken componenten die in veel SAP-landschappen een centrale rol spelen. Voor organisaties die afhankelijk zijn van NetWeaver als fundament onder hun ERP- en bedrijfsprocessen kan uitstel van patching daarom aanzienlijke risico’s met zich meebrengen.