SAP yazılımlarındaki kritik bir güvenlik açığı, uzaktan saldırganların kimlik doğrulama süreçlerini atlayarak sistemlere tam erişim sağlamalarına olanak tanıyor. CVE-2024-41730 olarak izlenen bu zaafiyet, özellikle SAP BusinessObjects Business Intelligence Platformu’nun 430 ve 440 sürümlerini etkiliyor ve CVSS 9.8 ile derecelendirilmiş. Bu tür bir açık, saldırganlara yüksek gizlilik, bütünlük ve erişilebilirlik riskleri doğuruyor. SAP, bu ve diğer güvenlik açıkları için yamalar yayınladı ve sistem yöneticilerinin acilen bu yamaları uygulamaları öneriliyor.
Zaafiyetin Detayları:
- CVE-2024-42374: SAP BEx Web Java Runtime Export Web Service’teki XML enjeksiyon açığı, versiyonlar BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 ve BIWEBAPP 7.5’i etkiliyor. CVSS v3.1 puanı: 8.2.
- CVE-2023-30533: SAP S/4 HANA’nın Manage Supply Protection modülünde bulunan kütüphane versiyonlarındaki prototip kirliliği, SheetJS CE’nin 0.19.3’ten düşük sürümlerini etkiliyor. CVSS v3.1 puanı: 7.8.
- CVE-2024-34688: SAP NetWeaver AS Java’daki Meta Model Repository bileşeninde Hizmetin Engellenmesi (DOS) açığı. Versiyon MMR_SERVER 7.5’i etkiliyor. CVSS v3.1 puanı: 7.5.
- CVE-2024-33003: SAP Commerce Cloud’da bilgi sızdırma açığı, HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 ve COM_CLOUD 2211 sürümlerini etkiliyor. CVSS v3.1 puanı: 7.4.
Çözüm ve Önlemler: SAP, bu kritik açıkları kapatmak için acil güvenlik yamaları yayınladı. Kullanıcıların bu yamaları derhal uygulaması, sistem güvenliği açısından hayati önem taşıyor. Ayrıca, sistem yöneticilerinin SSO yapılandırmalarını gözden geçirmeleri önerilir.
Sonuç: SAP sistemlerinde keşfedilen bu tür yüksek riskli zaafiyetler, saldırganlar için önemli fırsatlar sunar. Bu nedenle, kullanıcıların ve yöneticilerin güvenlik yamalarını zamanında uygulamaları kritik önemdedir.
