美国网络安全暨基础架构管理局(CISA)周二(2/8)呼吁,SAP用户应该尽快修补该公司于本月修补的重大漏洞。
在微软带动每个月第二个周二的修补风潮之后,有许多企业都选择在同一天进行修补,事实上,CISA在本周二的修补提醒并不仅限于SAP,还包括微软、Mozilla、Citrix与Adobe,只是坊间绝大多数的修补消息都围绕在微软。
身为全球企业资源管理龙头,SAP在8日修补了超过20个安全漏洞,其中就有8个漏洞的CVSS风险评分高达10。由于许多组织都采用SAP软件来进行企业资源规划、产品生命周期管理、客户关系管理或供应链管理等重要功能,而相关漏洞则可能引发资料外泄、金融欺诈、破坏重要商业程序,甚至是造成勒索软件攻击及运营中断等,促使CISA提出警告。
其中有3个安全漏洞是由安全企业Onapsis Research Labs所提报,这3个漏洞全都涉及许多SAP软件所采用的网络通信管理(Internet Communication Manager,ICM)组件,它们是CVE-2022-22536、CVE-2022-22532与CVE-2022-22533,其CVSS风险评分分别为10、8.1与7.5。
Onapsis表示,该公司与SAP都建议用户应该优先修补CVE-2022-22536及CVE-2022-22532,因为这两个漏洞一旦被成功开采,黑客就能针对SAP的客户或软件程序进行恶意程序攻击,进而危害相关的SAP软件,且大多数的SAP软件都含有ICM。
Onapsis也发布了开源工具,以供SAP用户检查系统上是否含有CVE-2022-22536漏洞。