SAP ปล่อยแพตช์แก้ไขช่องโหว่ร้ายแรงหลายรายการ พร้อมเตือนผู้ใช้เร่งอัปเดต

สำหรับเดือนกุมภาพันธ์นี้ SAP ได้อัปเดตช่องโหว่ใหม่ 13 รายการ พร้อมกับการอัปเดตข้อมูลเก่าและแพตช์เร่งด่วน ซึ่งความน่าสนใจคือมีช่องโหว่ร้ายแรงหลายรายการระดับ 10/10

ช่องโหว่ที่น่าสนใจมีดังนี้

• ชุดช่องโหว่ ICMAD ที่พบโดย Onapsis ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ SAP ทั้งนี้ชื่อมาจากช่องโหว่ใน Internet Communication Manager (ICM) ซึ่งถูกใช้ต่อในแอปพลิชันของ SAP หลายตัวเพื่อการเปิดการเชื่อมต่อ HTTPS และมักเผยช่องทางผ่านอินเทอร์เน็ต โดย ICMAD ประกอบด้วย CVE-2022-22536 เป็นปัญหาที่สามารถทำ HTTP Smuggling กับผลิตภัณฑ์ NetWeaver, Content Server และ Web Dispatch ซึ่งสามารถใช่ควบคู่กับ CVE-2022-22532 เพื่อทำให้การมีอยู่ของ Proxy ไร้ผล ทั้งนี้ Onapsis เตือนว่าช่องโหว่ตรวจจับได้ยากมากและแฮ็กเกอร์สามารถใช้เพื่อ ขโมย Credentials หรือข้อมูลสำคัญได้ อีกด้านหนึ่งที่ยืนยันถึงความร้ายแรงทาง CISA ได้ออกเตือนให้หน่วยงานรัฐอัปเดตแพตช์ ICMAD ให้เร็วที่สุด ทั้งนี้อีกช่องโหว่ใน ICMAD ก็คือ CVE-2022-22533 
• โน๊ตสำคัญอีกเรื่องก็คือแพตช์ของผลิตภัณฑ์ Apache Log4j ที่ถูกใช้ใน SAP Commerce และ Data intelligence 3 (On-premise)

สำหรับผู้ใช้งาน SAP สามารถติดตามอัปเดตล่าสุดได้ที่ https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

ที่มา : https://www.securityweek.com/sap-customers-warned-about-critical-icmad-vulnerabilities และ https://www.zdnet.com/article/sap-releases-patches-for-icmad-vulnerabilities/