BiznetBiznet

SAP BusinessObjects BI Platform Servers AdminTools SSRF Güvenlik Problemi

Yazar: Deniz Çevik

CVE:CVE-2018-2445

CVSS: 6.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:L

Risk Seviyesi:ORTA

Ürün:SAP BusinessObjects

Etkilenen Sürümler: 4.1, 4.2

Yama Tarihi: 14 Ağustos 2018

Raporlayan: Deniz ÇEVİK

Problem Detayları: SAP BusinessObjectsile birlikte gelen AdminTools bileşenlerinin SSRF probleminden etkilendiği tespit edilmiştir. SSRF (Server Side Request Forgery), zafiyeti barındıran sistemden harici sistemlere istek yollatılabilmesine imkan tanıyan bir problemdir. Söz konusu durum sayesinde saldırganlar bu sistem ile aynı ağda veya Internet üzerine bulunan diğer sistemlere, bu sistemin ip adresi ile herkese açık bir proxy gibi istek yollayabilmektedirler. Belirtilen problem yerel ağa erişim, kimlik gizleme, farklı sistemlere size ait bir sistem üzerinden saldırı düzenleme, port ve ağtaraması yapma gibi işlemler için rahatlıkla kötüye kullanılabilir.

Çözüm/Öneri:Belirtilen problem SAP tarafından Ağustos 2018 tarihinde duyurulan yama paketi ile giderilmiştir.  Gerekli yama ve zafiyet hakkında detaylar için aşağıdaki link kullanılabilir.

https://launchpad.support.sap.com/#/notes/2630018

Referanslar:

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=499352742

https://wiki.scn.sap.com/wiki/display/PSR/Acknowledgments+to+Security+Researchers

deniz.cevik
Yazar: deniz.cevik