Vendor perangkat lunak SAP telah merilis pembaruan keamanan untuk 19 kerentanan, lima dinilai kritis, artinya administrator harus menerapkannya sesegera mungkin untuk mengurangi risiko terkait.
Kekurangannya diperbaiki bulan ini memengaruhi banyak produk, tetapi bug keparahan kritis memengaruhi SAP Business Objects Business Intelligence Platform (CMC) dan SAP NetWeaver.
Lebih khusus lagi, lima kekurangan yang diperbaiki kali ini adalah sebagai berikut:
- CVE-2023-25616: Kerentanan injeksi kode keparahan kritis (CVSS v3: 9.9) di SAP Business Intelligence Platform, memungkinkan penyerang mengakses sumber daya yang hanya tersedia untuk pengguna istimewa. Cacat berdampak pada versi 420 dan 430.
- CVE-2023-23857: Keparahan kritis (CVSS v3: 9.8) pengungkapan informasi, manipulasi data, dan kelemahan DoS yang memengaruhi SAP NetWeaver AS untuk Java, versi 7.50. Bug tersebut memungkinkan penyerang yang tidak diautentikasi untuk melakukan operasi yang tidak sah dengan melampirkan ke antarmuka terbuka dan mengakses layanan melalui API direktori.
- CVE-2023-27269: Keparahan kritis (CVSS v3: 9.6) masalah penelusuran direktori yang berdampak pada SAP NetWeaver Application Server untuk ABAP. Cacat tersebut memungkinkan pengguna non-admin untuk menimpa file sistem. Ini mempengaruhi versi 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, dan 791.
- CVE-2023-27500: Traversal direktori keparahan kritis (CVSS v3: 9.6) di SAP NetWeaver AS untuk ABAP. Penyerang dapat mengeksploitasi kelemahan di SAPRSBRO untuk menimpa file sistem, menyebabkan kerusakan pada titik akhir yang rentan. Berdampak pada versi 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757.
- CVE-2023-25617: Kerentanan eksekusi perintah tingkat keparahan kritis (CVSS v3: 9.0) di SAP Business Objects Business Intelligence Platform, versi 420 dan 430. Cacat tersebut memungkinkan penyerang jarak jauh untuk mengeksekusi perintah arbitrer pada OS menggunakan BI Launchpad, Central Management Console, atau custom aplikasi berbasis java SDK publik, dalam kondisi tertentu.
Terlepas dari hal di atas, tambalan keamanan bulanan SAP memperbaiki empat kelemahan dengan tingkat keparahan tinggi dan sepuluh kerentanan dengan tingkat keparahan sedang.
Tambal sekarang
Cacat keamanan dalam produk SAP adalah target yang sangat baik bagi pelaku ancaman karena umumnya digunakan oleh organisasi besar di seluruh dunia dan dapat berfungsi sebagai titik masuk ke sistem yang sangat berharga.
SAP adalah vendor ERP terbesar di dunia, memiliki 24% pangsa pasar global dengan 425.000 pelanggan di 180 negara. Lebih dari 90% Forbes Global 2000 menggunakan produk ERP, SCM, PLM, dan CRM-nya.
Pada Februari 2022, Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak admin untuk menambal serangkaian kerentanan parah yang berdampak pada aplikasi bisnis SAP untuk mencegah pencurian data, serangan ransomware, dan gangguan proses dan operasi yang sangat penting.
Pada April 2021, aktor ancaman diamati menyerang memperbaiki kekurangan dalam sistem SAP yang belum ditambal untuk mendapatkan akses ke jaringan perusahaan.
