美国网络安全和基础设施安全局(CISA)周四根据主动开发的证据,将一个关键的 SAP 安全漏洞添加到其已知的已开发漏洞目录中。
这个问题是 CVE-2022-22536,它在 CVSS 漏洞评分系统中得到了10.0的最高风险评分,SAP 在2022年2月的补丁周二更新中解决了这个问题。
被描述为 HTTP 请求走私漏洞,该缺陷影响以下产品版本-
-
SAP Web Dispatcher (Versions – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
-
SAP Content Server (Version – 7.53)
-
SAP NetWeaver and ABAP Platform (Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)
CISA 在一份警告中说: “未经身份验证的攻击者可以使用任意数据预先处理受害者的请求,允许模拟受害者的函数执行或中毒中间网络缓存。”
发现漏洞的 Onapsis 指出: “一个简单的 HTTP 请求,与任何其他有效消息都无法区分,而且没有任何形式的身份验证,就足以成功地利用它。因此,这使得攻击者很容易利用它,并且使得防火墙或 IDS/IPS 等安全技术更难以检测到它(因为它不会带来恶意负载)。”
除了 SAP 的弱点,该机构还增加了苹果(CVE-2022-32893,和 CVE-2022-32894)和谷歌(CVE-2022-2856)本周披露的新缺陷,以及之前记录的与微软相关的错误(CVE-2022-21971和 CVE-2022-26923)和帕洛阿尔托网络 PAN-OS (CVE-2017-15944,CVSS 得分: 9.8)的远程代码执行漏洞,这些都是在2017年披露的。
CVE-2022-21971(CVSS 得分: 7.8)是 Windows 运行时中的一个远程代码执行漏洞,微软于2022年2月解决了这个问题。CVE-2022-26923(CVSS 得分: 8.8) ,修正于2022年5月,涉及到活动目录域服务的一个权限提升缺陷。
微软在其 CVE-2022-26923咨询报告中描述道: “经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性,并获得 Active Directory 证书服务的证书,从而允许将特权升级到 System。”
按照惯例,CISA的通知对与漏洞有关的野外攻击的技术细节不够详细,以避免威胁行为者进一步利用这些漏洞。
为了减轻潜在威胁的影响,联邦民事行政部门(FCEB)机构被授权在2022年9月8日之前应用相关补丁。