SAP 發布關鍵遠程執行代碼漏洞補丁

遠程執行代碼漏洞可能使攻擊者能夠部署惡意軟件，修改網絡配置和查看數據庫。

企業軟件巨頭SAP推出了針對其生產操作實時數據監控軟件中一個嚴重漏洞的修復程序。如果該漏洞被利用，攻擊者可能會訪問SAP數據庫，用惡意軟件感染最終用戶，并修改網絡配置。

嚴重的漏洞修復程序是SAP發布的18個安全補丁程序的一部分，該補丁程序解決了新漏洞并更新了先前發布的補丁程序。

作為安全更新的一部分新發布的兩個最關鍵的修復程序包括SAP的制造集成和智能（MII）應用程序中用于同步制造操作的漏洞，以及SAP的NetWeaver AS Java軟件堆棧中的一個漏洞。

“有了18個新的和更新的SAP安全說明，SAP的3月補丁日略低于2021年頭兩個月發布的平均補丁數量，” Onapsis的研究人員在周三的分析中說。“有了SAP MII，SAP NetWeaver AS Java和SAP HANA，這次三個不同的應用程序將受到嚴重漏洞（熱點新聞和高優先級）的影響。”

SAP MII安全漏洞：遠程執行代碼

SAP MII（CVE-2021-21480）中的漏洞是一個代碼注入漏洞，其中代碼被插入到目標應用程序的語言中，并由服務器端解釋器執行。該漏洞的CVSS評分為9.9（滿分10）。版本15.1、15.2、15.3和15.4會受到影響。

SAP MII是一個基于Java的NetWeaver AS Java平臺，它允許實時監視生產和數據分析，以深入了解性能效率。

該漏洞源自SAP MII的一個稱為自助服務組合環境（SSCE）的組件，該組件用于設計用于實時數據分析的儀表板。這些儀表板可以另存為Java Server Pages（JSP）文件。但是，攻擊者可以遠程將JSP請求攔截到服務器，將其注入惡意代碼，然后將其轉發到服務器。

Onapsis研究人員說：“當具有最低授權的用戶在生產環境中打開這種受感染的儀表板時，惡意內容就會被執行，從而導致服務器中的遠程代碼執行。”

這可能導致各種惡意攻擊，包括對SAP數據庫的訪問以及讀取，修改或刪除記錄的能力；轉向其他服務器；用惡意軟件感染最終用戶并修改網絡配置以潛在地影響內部網絡。

研究人員強烈建議盡快應用相應的補丁。

Onapsis研究人員說：“該補丁將阻止儀表板另存為JSP文件。” “不幸的是，沒有其他靈活的解決方案可用。如果需要JSP文件，則客戶應盡可能限制對SSCE的訪問，并在將其移至生產環境之前手動驗證任何JSP內容。”

SAP NetWeaver AS Java漏洞

SAP NetWeaver AS Java版本7.10、7.11、7.30、7.31、7.40和7.50中存在另一個嚴重漏洞。特別是，由于缺少授權檢查，MigrationService組件會受到影響。

此漏洞（CVE-2021-21481）在CVSS等級上排名9.6，使其嚴重程度至關重要。

SAP NetWeaver AS Java通常在內部用于在AS Java引擎的主要版本之間遷移應用程序。

研究人員說：“缺少授權檢查可能會使未經授權的攻擊者獲得管理特權。” “這可能會完全損害系統的機密性，完整性和可用性。”

其他嚴重的SAP安全漏洞

除了這兩個嚴重漏洞之外，SAP還修復了SAP HANA（版本2.0）中的身份驗證繞過（CVE-2021-21484）。它還對之前的兩個安全更新進行了更新-包括SAP Solution Manager中缺少的身份驗證檢查（來自2020年3月發布的安全說明）和針對Google Chromium的安全更新（來自2018年4月發布的安全）。SAP未提供有關這些安全說明的更新的更多詳細信息。

該修補程序是在2月份SAP更新了其針對電子商務業務的Commerce平臺中的關鍵漏洞的安全更新之后發布的 。如果被利用，該漏洞可能允許遠程執行代碼，最終可能損害或破壞應用程序。

在星期二繁忙的補丁程序周期間也提供了這些修復程序。Microsoft定期計劃的March Patch周二更新解決了89個安全漏洞，其中包括14個嚴重漏洞和75個重要嚴重漏洞。

周二還發布了Adobe的安全更新，該更新解決了關鍵漏洞的緩存，如果利用這些漏洞，則可以允許在易受攻擊的Windows系統上任意執行代碼。