SAP ออกแพตช์อุดช่องโหว่ 19 ตัวบน SAP CMC และ SAP NetWeaver

SAP ได้ประกาศออกแพตช์อุดช่องโหว่กว่า 19 ตัวในหลายผลิตภัณฑ์ มีช่องโหว่ที่สำคัญกระทบกับ SAP Business Objects Business Intelligence Platform (CMC) และ SQP NetWeaver โดยช่องโหว่ที่สำคัญมีดังนี้

• CVE-2023-25616: (CVSS v3: 9.9) ช่องโหว่ Code Injection ใน SAP Business Intelligent Platform กระทบกับเวอร์ชัน 420 และ 430
• CVE-2023-23857: (CVSS v3: 9.8) ช่องโหว่ Information disclosure และ DoS กระทบ SAP NetWeaver AS for Java เวอร์ชัน 7.50
• CVE-2023-27269: (CVSS v3: 9.6) ช่องโหว่ Directory Traversal กระทบ SAP NetWeaver Application Server for ABAP ทำให้ผู้โจมตีทำการเขียน File system ได้โดยตรง เวอร์ชันที่ได้รับผลกระทบได้แก่ 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, และ 791
• CVE-2023-27500: (CVSS v3: 9.6) ช่องโหว่ Directory Traversal บน SAP NetWeaver AS for ABAP ทำให้สามารถโจมตีผ่าน SAPRSBRO เพื่อเขียน File system ทำให้ Endpoint ได้รับความเสียหายได้ เวอร์ชันที่ได้รับผลกระทบได้แก่ 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, และ 757
• CVE-2023-25617: (CVSS v3: 9.0) ช่องโหว่ Command Execution บน SAP Business Objects Business Intelligence Platform เวอร์ชัน 420 และ 430 ทำให้ผู้โจมตีจากระยะไกลส่งคำสั่งไปยังระบบปฏิบัติการเพื่อใช้งาน BI Launchpad, Central Management Console และ Custom Application ที่เป็น Java SDK ได้

นอกจากนี้ SAP ยังออกแพตช์ช่องโหว่สำคัญอีก 4 ตัว และช่องโหว่ความรุนแรงระดับปานกลางอีก 10 ตัว ผู้ดูแลระบบควรทำการอัปเดตทันที ที่ผ่านมา SAP ถูกมุ่งเป้าโจมตีเนื่องจากเป็นระบบที่มีความสำคัญและองค์กรขนาดใหญ่ทั่วโลกนิยมใช้งาน ปัจจุบัน SAP มีลูกค้ามากกว่า 425,000 รายจาก 180 ประเทศทั่วโลก เมื่อช่วงปีที่แล้ว US Cybersecurity and Infrastucture Security Agency (CISA) เคยออกคำเตือนสำหรับผู้ดูแลระบบให้ทำการแพตช์ช่องโหว่สำคัญบน SAP Business App มาแล้ว เพื่อป้องกันการขโมยข้อมูลและการแพร่กระจายแรนซัมแวร์

ที่มา: https://www.bleepingcomputer.com/news/security/sap-releases-security-updates-fixing-five-critical-vulnerabilities/