Meerdere kritieke kwetsbaarheden in SAP gevonden

Op 8 Februari heeft SAP in samenwerking met Onapsis Research Labs een drietal bevindingen gepubliceerd die alle drie voor ernstige problemen kunnen zorgen mochten deze uitgebuit worden. De ergste van de drie, bekend als CVE-2022-22536, heeft de hoogst haalbare CVSS score van een 10.0. Dit houdt in dat een kwaadwillende gebruiker zonder authenticatie de volledige server kan overnemen met een simpel HTTP verzoek wat kan leiden in een totaal verlies van beschikbaarheid, integriteit en vertrouwelijkheid.

 

De kwetsbaarheden

Het drietal bevindingen zijn gevonden in het ICM component binnen SAP applicaties. Wat de bevindingen en de ernst hiervan alleen maar erger maakt is het feit dat dit component in bijna alle SAP applicaties voorkomt. Erger nog, de ICM component verbindt SAP systemen met het internet, waar het standaard gebruikt wordt in de meeste SAP configuraties.

 

De oplossing

Gelukkig heeft SAP in samenwerking met Onapsis de twee ergste van het drietal bevindingen opgelost. Deze zijn uitgerold tijdens de maandelijkse security patch dag. Dit betekent natuurlijk dat alle SAP systemen binnen uw organisatie een belangrijke update nodig hebben.

 

Niet zeker of alle servers goed zijn gepatcht? Neem contact op met ons Security Testing team om een scan te draaien op uw infrastructuur om zeker te weten dat deze kwetsbaarheid nergens kan worden terug gevonden!

Top