Βελτιώσεις SAP σε διακομιστές NetWeaver

Η SAP έχει διορθώσει δύο κρίσιμα τρωτά σημεία που επηρεάζουν τον διακομιστή εφαρμογών ιστού NetWeaver, τα οποία θα μπορούσαν να χρησιμοποιηθούν για την κλιμάκωση των προνομίων και την πρόσβαση σε περιορισμένες πληροφορίες.

Ως μέρος της Ημέρας Ενημερωμένης έκδοσης κώδικα ασφαλείας του Ιανουαρίου, ο πωλητής κυκλοφόρησε επίσης ενημερώσεις για άλλα προϊόντα για να επιδιορθώσει 12 επιπλέον ζητήματα που αξιολογήθηκαν με μέτρια και υψηλή σοβαρότητα.

«Η SAP συνιστά ανεπιφύλακτα στον πελάτη να επισκεφθεί το Πύλη υποστήριξηςκαι εφαρμόζει διορθώσεις κατά προτεραιότητα για την προστασία του τοπίου SAP τους», αναφέρει η εταιρεία δελτίο ασφαλείας.

Τα τέσσερα πιο σοβαρά προβλήματα ασφαλείας που αντιμετωπίστηκαν αυτό το μήνα συνοψίζονται ως εξής:

• CVE-2025-0070, κρίσιμη βαρύτητα, βαθμολογία 9,9): Ο εσφαλμένος έλεγχος ταυτότητας στον διακομιστή εφαρμογών SAP NetWeaver για την πλατφόρμα ABAP και ABAP επιτρέπει σε έναν επιτιθέμενο να εκμεταλλεύεται ακατάλληλους ελέγχους ελέγχου ταυτότητας, με αποτέλεσμα την κλιμάκωση των προνομίων και επηρεάζοντας σημαντικά την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα.
• CVE-2025-0066, κρίσιμη βαρύτητα, βαθμολογία 9,9: Η ευπάθεια αποκάλυψης πληροφοριών στο SAP NetWeaver AS for ABAP και ABAP Platform (Internet Communication Framework) προκύπτει λόγω αδύναμων ελέγχων πρόσβασης, που επιτρέπουν σε έναν εισβολέα να έχει πρόσβαση σε περιορισμένες πληροφορίες και θέτει σε σημαντικό κίνδυνο την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα.
• CVE-2025-0063, υψηλή σοβαρότητα, βαθμολογία 8,8: Η ευπάθεια SQL injection στο SAP NetWeaver AS ABAP και ABAP Platform προκύπτει από την έλλειψη ελέγχων εξουσιοδότησης για ορισμένες λειτουργικές μονάδες RFC. Αυτό επιτρέπει σε έναν εισβολέα με βασικά προνόμια να παραβιάσει μια βάση δεδομένων Informix, οδηγώντας σε πλήρη απώλεια εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας.
• CVE-2025-0061, υψηλή σοβαρότητα, βαθμολογία 8,7: Πολλαπλές ευπάθειες στην πλατφόρμα Business Intelligence SAP BusinessObjects επιτρέπουν σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να πραγματοποιεί εισβολή περιόδων σύνδεσης μέσω του δικτύου λόγω ενός ζητήματος αποκάλυψης πληροφοριών. Αυτό επιτρέπει στον εισβολέα να έχει πρόσβαση και να τροποποιεί όλα τα δεδομένα της εφαρμογής.

Αντίκτυπος και συστάσεις

Τα προϊόντα SAP εξυπηρετούν μεγάλες επιχειρήσεις σε κλάδους όπως η μεταποίηση, η χρηματοδότηση, το λιανικό εμπόριο, η υγειονομική περίθαλψη και η κυβέρνηση, εκπληρώνοντας κρίσιμους ρόλους για τη διαχείριση των επιχειρηματικών λειτουργιών και των σχέσεων με τους πελάτες.

Το SAP NetWeaver είναι μια βασική πλατφόρμα για την εκτέλεση εφαρμογών ABAP και την ενεργοποίηση της ασφαλούς επικοινωνίας μέσω του Internet Communication Framework. Συνήθως χρησιμοποιείται από διαχειριστές πληροφορικής, προγραμματιστές και συμβούλους σε επιχειρήσεις που διαχειρίζονται συστήματα ERP για χρηματοδότηση, HR και αλυσίδα εφοδιασμού.

Το SAP BusinessObjects είναι μια πλατφόρμα για αναφορές, αναλύσεις και οπτικοποίηση δεδομένων που χρησιμοποιείται από αναλυτές, υπεύθυνους λήψης αποφάσεων και ομάδες πληροφορικής για την εξαγωγή πληροφοριών και την υποστήριξη στρατηγικών αποφάσεων.

Οι χάκερ στο παρελθόν είχαν στοχεύσει προϊόντα SAP που δεν είχαν ενημερωθεί για να αντιμετωπίσουν γνωστά τρωτά σημεία ή δεν είχαν ρυθμιστεί σωστά, αφήνοντας τα δίκτυα εκτεθειμένα σε παραβιάσεις.

Ο Γερμανός προμηθευτής συνιστά ανεπιφύλακτα στους πελάτες να εφαρμόζουν τις πιο πρόσφατες διαθέσιμες ενημερώσεις κώδικα για την προστασία του περιβάλλοντος SAP τους.