SAP 发布关键远程执行代码漏洞补丁

远程执行代码漏洞可能使攻击者能够部署恶意软件，修改网络配置和查看数据库。

企业软件巨头SAP推出了针对其生产操作实时数据监控软件中一个严重漏洞的修复程序。如果该漏洞被利用，攻击者可能会访问SAP数据库，用恶意软件感染最终用户，并修改网络配置。

严重的漏洞修复程序是SAP发布的18个安全补丁程序的一部分，该补丁程序解决了新漏洞并更新了先前发布的补丁程序。

作为安全更新的一部分新发布的两个最关键的修复程序包括SAP的制造集成和智能（MII）应用程序中用于同步制造操作的漏洞，以及SAP的NetWeaver AS Java软件堆栈中的一个漏洞。

“有了18个新的和更新的SAP安全说明，SAP的3月补丁日略低于2021年头两个月发布的平均补丁数量，” Onapsis的研究人员在周三的分析中说。“有了SAP MII，SAP NetWeaver AS Java和SAP HANA，这次三个不同的应用程序将受到严重漏洞（热点新闻和高优先级）的影响。”

SAP MII安全漏洞：远程执行代码

SAP MII（CVE-2021-21480）中的漏洞是一个代码注入漏洞，其中代码被插入到目标应用程序的语言中，并由服务器端解释器执行。该漏洞的CVSS评分为9.9（满分10）。版本15.1、15.2、15.3和15.4会受到影响。

SAP MII是一个基于Java的NetWeaver AS Java平台，它允许实时监视生产和数据分析，以深入了解性能效率。

该漏洞源自SAP MII的一个称为自助服务组合环境（SSCE）的组件，该组件用于设计用于实时数据分析的仪表板。这些仪表板可以另存为Java Server Pages（JSP）文件。但是，攻击者可以远程将JSP请求拦截到服务器，将其注入恶意代码，然后将其转发到服务器。

Onapsis研究人员说：“当具有最低授权的用户在生产环境中打开这种受感染的仪表板时，恶意内容就会被执行，从而导致服务器中的远程代码执行。”

这可能导致各种恶意攻击，包括对SAP数据库的访问以及读取，修改或删除记录的能力；转向其他服务器；用恶意软件感染最终用户并修改网络配置以潜在地影响内部网络。

研究人员强烈建议尽快应用相应的补丁。

Onapsis研究人员说：“该补丁将阻止仪表板另存为JSP文件。” “不幸的是，没有其他灵活的解决方案可用。如果需要JSP文件，则客户应尽可能限制对SSCE的访问，并在将其移至生产环境之前手动验证任何JSP内容。”

SAP NetWeaver AS Java漏洞

SAP NetWeaver AS Java版本7.10、7.11、7.30、7.31、7.40和7.50中存在另一个严重漏洞。特别是，由于缺少授权检查，MigrationService组件会受到影响。

此漏洞（CVE-2021-21481）在CVSS等级上排名9.6，使其严重程度至关重要。

SAP NetWeaver AS Java通常在内部用于在AS Java引擎的主要版本之间迁移应用程序。

研究人员说：“缺少授权检查可能会使未经授权的攻击者获得管理特权。” “这可能会完全损害系统的机密性，完整性和可用性。”

其他严重的SAP安全漏洞

除了这两个严重漏洞之外，SAP还修复了SAP HANA（版本2.0）中的身份验证绕过（CVE-2021-21484）。它还对之前的两个安全更新进行了更新-包括SAP Solution Manager中缺少的身份验证检查（来自2020年3月发布的安全说明）和针对Google Chromium的安全更新（来自2018年4月发布的安全）。SAP未提供有关这些安全说明的更新的更多详细信息。

该修补程序是在2月份SAP更新了其针对电子商务业务的Commerce平台中的关键漏洞的安全更新之后发布的 。如果被利用，该漏洞可能允许远程执行代码，最终可能损害或破坏应用程序。

在星期二繁忙的补丁程序周期间也提供了这些修复程序。Microsoft定期计划的March Patch周二更新解决了89个安全漏洞，其中包括14个严重漏洞和75个重要严重漏洞。

周二还发布了Adobe的安全更新，该更新解决了关键漏洞的缓存，如果利用这些漏洞，则可以允许在易受攻击的Windows系统上任意执行代码。