Albisteak

SAPen segurtasuna eguneratzea - 2025eko otsaila

Argitalpen-data: 

SAP-ek bere hileko segurtasun eguneraketa argitaratu du, non 19 segurtasun ohar berri konpontzen diren. Gainera, aurrez argitaratutako segurtasun oharretarako 2 eguneraketa egin ziren. Apache eta SAP produktutan kalteberatasun anitz identifikatu dira, atakeriek exploitatuz, eragina duten sistemetako konfidantzialtasuna, osotasuna eta erabilgarritasuna arriskuan jartzeko. Apache Solr-ek kalteberatasun anitz ditu, barnean autentifikazio bazterketa eta baliabideen hasieratze seguru gabea barne, eta horrek baimentzat gabe sartzea eta kode kaltegarriaren kargatzea ahalbidetzen du. SAP plataformek ere arrisku handiak dituzte, adibidez, SAP BusinessObjects-en pasahitz seguru gabeak sortzea eta SAP Approuter-en autentifikazio baztertsua, saio lapurtze atakeak ahalbidetzen dituztenak. Beste kalteberatasun batzuek Cross-site Scripting (XSS) eta SAP Commerce-en cookie konfigurazio seguru gabeak barne hartzen dituzte, datu sentikorak agerian uzten eta eraso arriskuak handituz. Gomendatzen da, identifikatutako arrisku hauek murrizteko eta erakundearen aktibo kritikoak babesteko, eskuragarri dauden segurtasun eguneraketak ezartzea.

Afectatutako baliabideak

  • SAP NetWeaver AS Java (Erabiltzaile Administrazio Aplikazioa) - Bertsioa 7.50
  • SAP BusinessObjects Business Intelligence plataforma (Zentro Kudeaketa Kontsola) - Bertsioak ENTERPRISE 430, 2025
  • SAP Hornitzaile Harremanen Kudeaketa (Nagusi Datu Kudeaketa Katalogoa) - Bertsioa SRM_MDM_CAT 7.52
  • SAP Approuter Liburutegia - @sap/approuter, Bertsioak 2.6.1tik 16.7.1ra
  • SAP Enpresa Proiektu Konexioa - Bertsioa 3.0
  • SAP HANA aplikazio zerbitzu zabalak, eredu aurreratua (Erabiltzaile Kontu eta Autentifikazio Zerbitzuak) - Bertsioa SAP_EXTENDED_APP_SERVICES 1
  • SAP Merkataritza - Bertsioak HY_COM 2205, COM_CLOUD 2211
  • SAP NetWeaver Aplikazio Zerbitzari Java - Bertsioak EP-BASIS 7.50, FRAMEWORK-EXT 7.50
  • SAP Fiori Apps Erreferentzia Liburutegia (Nire Ordu Gehigarriko Eskaerak) - Bertsioa GBX01HR5 605
  • SAP NetWeaver eta ABAP Plataforma (SDCCN) - Bertsioak ST-PI 2008_1_700, ST-PI 2008_1_710, ST-PI 740
  • SAP NetWeaver Zerbitzari ABAP - Bertsioak SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758
  • SAP NetWeaver AS Java Deploy Zerbitzuarentzako - Bertsioak ENGINEAPI 7.50, SERVERCORE 7.50
  • SAP NetWeaver Aplikazio Zerbitzari Java - Bertsioa WD-RUNTIME 7.50
  • SAP ABAP Plataforma (ABAP Eraikuntza Markoa) - Bertsioak SAP_BASIS 750, 751, 752, 753, 754, 755, 756, 757, 758
  • SAP NetWeaver eta ABAP plataforma (ST-PI) - Bertsioak ST-PI 2008_1_700, 2008_1_710, ST-PI 740
  • SAP Fiori SAP ERP-rako - Bertsioak SAP_GWFND 740, 750, 751, 752, 753, 754, 755, 756, 757, 758

Analisi teknikoa

  • CVE-2024-45216: Apache Solr-en autentifikazio okerreko kalteberatasuna. Solr instantzietakoek, PKIAuthenticationPlugin erabiltzen dutelako, eta hori Solr-en autentifikazioa erabiltzerakoan lehenetsita gaituta dagoelako, autentifikazioaren baztertzeari kalteberatsuak dira. Solr APIko URL bide edozein bukaeran agertzen den faltsu amaierak, eskaerei autentifikazioa baztertu ahal izatea ahalbidetzen die, APIren kontratua URL bide originalarekin mantentzen den bitartean. Amaiera faltsu honek API bide babestutako gabe baten antza du; hala ere, autentifikazioaren ondoren baina API bideratzearen aurretik, barnean ezabatzen da. Arazo honek Apache Solr-i eragiten dio: 5.3.0tik 8.11.4-era, eta 9.0.0tik 9.7.0-era. Erabiltzaileei 9.7.0 edo 8.11.4 bertsioetara eguneratzea gomendatzen zaie, arazoa konpontzen dituztenak.
  • CWE-863
  • CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotazioa: Ez detektatua
  • CVE-2025-0064: Baldintza zehatzetan, SAP BusinessObjects Business Intelligence plataformako Zentro Kudeaketa Kontsolak administratzaile eskubideak dituen atakeriari pasahitz esaldi sekretu bat sortu edo berreskuratzeko aukera ematen dio, hau atakeriari sistema osoan edozein erabiltzailearen ordez agertzeko ahalmena ematen diona. Honek konfidentzialtasun eta osotasunean eragin handia du, baina erabilgarritasunean ez du eraginik.
  • CWE-732
  • CVSS: 8.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
  • Explotazioa: Ez detektatua
  • CVE-2025-25243: SAP Hornitzaile Harremanen Kudeaketa (Nagusi Datu Kudeaketa Katalogoa) ataketa autentifikatuta ez den batek, sarean erabiltzailearen inplikaziorik gabe, modu publikoan eskuragarri dagoen servlet bat erabiliz, ausazko fitxategi bat deskargatzea ahalbidetzen du. Honek oso sentikor den informazioa agerian utz dezake, osotasun edo erabilgarritasunari eraginik gabe.
  • CWE-22
  • CVSS: 8.6
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
  • Explotazioa: Ez detektatua
  • CVE-2024-45217: Apache Solr-en baliabideen lehenetsitako hasieratze seguru gabearen kalteberatasuna. Erresurtitze komando baten bidez sortzen diren ConfigSet berriak, segurtasun kopia baten ConfigSet bat kopiatzen eta izen berria ematen dietelako, "fidagarriak" diren metadatuak ez ezarri gabe sortzen dira. Metadatuak ez badira agertzen, ConfigSet-ak inplizitu fidagarriak bezala onartzen dira, eta horrek "fidagarriak" diren ConfigSet-ak sortzea eragin dezake, eskaera autentifikatuta gabe sortuta egon daitezkeenak. Fidagarriak diren ConfigSet-ek klase kargatzaileetan kode pertsonalizatua kargatu dezakete; beraz, adierazle hori soilik ezartzen dela supose da, ConfigSet-a kargatzen duen eskaera autentifikatua eta baimendua dagoenean. Arazo hau Apache Solr-i eragiten dio: 6.6.0tik 8.11.4-ra eta 9.0.0tik 9.7.0-ra. Arazo honek ez du eragiten autentifikazio/baimen bidez babestutako Solr instantziei. Erabiltzaileei gomendatzen zaie, Solr exekutatzen dutenean autentifikazioa eta baimenak erabiltzea. Hala ere, 9.7.0 edo 8.11.4 bertsioetara eguneratzea arazo hau mitigatuko du.
  • CWE-1188
  • CVSS: 8.1
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
  • Explotazioa: Ez detektatua
  • CVE-2025-24876: SAP Approuter Node.js paketea, v16.7.1 bertsioa eta aurrekoak, autentifikazioaren baztertzeari kalteberatasuna du. Baimen kode bat trukatzen duenean, atakeri batek behatzailearen saioa lapurtu dezake kargadura kaltegarri bat injektatuz, eta horrek aplikazioaren konfidentzialtasunean eta osotasunean eragin handia du.
  • CWE-601
  • CVSS: 8.1
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
  • Explotazioa: Ez detektatua
  • CVE-2024-38819: WebMvc.fn edo WebFlux.fn funtzionatutako web markoen bidez baliabide estatikoak eskaintzen dituzten aplikazioak, direktorioen zeharkatze (path traversal) erasoen kalteberatasuna dute. Atakeri batek HTTP eskaera kaltegarriak manipulatu ditzake, eta horren bidez, aplikazio Spring-ek exekutatzen duen prozesuak eskuragarri duen edozein fitxategi lortu.
  • CWE-22
  • CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
  • Explotazioa: Ez detektatua

Mitigazioa / Konponbidea

SAP-ek identifikatutako kalteberatasunak murrizteko modu lehenetsuan eskuragarri dauden segurtasun eguneratzeak eta patch-ak ezartzea gomendatzen du. SAP ingurune seguru bat mantentzea funtsezkoa dela nabarmentzen da, zuzeneko aldez aurreko zuzenketak aplikatuz. Konfigurazio seguruetan eta praktika onenetako xehetasun gehiago izateko, bezeroek SAP Support Portal-a kontsultatu behar dute.

Erreferentzia gehigarriak