SAP ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูง

405/67 (IT) ประจำวันพฤหัสบดีที่ 14 พฤศจิกายน 2567

SAP ได้ออกอัปเดตความปลอดภัยเดือนกรกฎาคม 2024 เพื่อแก้ไขช่องโหว่จำนวน 18 รายการในผลิตภัณฑ์ต่างๆ โดยอัปเดตนี้รวมถึงการแก้ไขช่องโหว่ที่มีความรุนแรงสูงจำนวน 2 รายการที่อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลและระบบที่มีความละเอียดอ่อนได้โดยไม่ได้รับอนุญาต โดยช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2024-39592 ซึ่งส่งผลกระทบต่อเครื่องมือ SAP Product Design Cost Estimating (PDCE) มีคะแนน CVSS 7.7 ช่องโหว่นี้เกิดจากการขาดการตรวจสอบสิทธิ์ที่จำเป็น ซึ่งอาจทำให้ผู้โจมตีสามารถอ่านข้อมูลตารางทั่วไปและเปิดเผยข้อมูลที่มีความละเอียดอ่อนได้

ช่องโหว่อีกรายการที่สำคัญคือ CVE-2024-39597 ซึ่งพบใน SAP Commerce มีคะแนน CVSS 7.2 ช่องโหว่นี้เกิดจากการตรวจสอบสิทธิ์ที่ไม่ถูกต้อง ซึ่งอาจทำให้ผู้โจมตีสามารถใช้ฟังก์ชันรีเซ็ตรหัสผ่านที่ลืมเพื่อเข้าถึงเว็บไซต์ที่ไม่ได้รับการอนุมัติจากผู้ดูแลร้านค้า โดยที่อัปเดตแยังแก้ไขช่องโหว่ระดับปานกลาง 15 รายการในผลิตภัณฑ์ SAP ต่างๆ เช่น Landscape Management, Document Builder, NetWeaver, CRM, Business Warehouse, S/4HANA, Business Workflow, GUI for Windows, Transportation Management และ Enable Now ช่องโหว่เหล่านี้รวมถึงปัญหาต่างๆ เช่น การเปิดเผยข้อมูล, การอัปโหลดไฟล์ที่ไม่มีการจำกัด, การขาดการตรวจสอบสิทธิ์, XSS และ SSRF    

แม้ว่า SAP จะยังไม่รายงานว่ามีการใช้ช่องโหว่เหล่านี้ในการโจมตีจริง แต่บริษัทแนะนำอย่างยิ่งให้ผู้ใช้อัปเดตแพตช์โดยเร็ว เนื่องจากเหตุการณ์ในอดีตพบว่า ผู้โจมตีมักจะโจมตีช่องโหว่ที่รู้จัก แม้ว่าจะมีการปล่อยแพตช์แล้วก็ตาม องค์กรที่ใช้ผลิตภัณฑ์ SAP ควรให้ความสำคัญกับการติดตั้งแพตช์เหล่านี้เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นกับระบบและข้อมูล

แหล่งข่าว https://cybersecuritynews.com/sap-security-update/