BiznetBiznet

SAP BusinessObjects Business Intelligence Platform SSRF Güvenlik Problemi

Yazar: Deniz Çevik

CVE: CVE-2020-6187
CVSS: 5.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Risk Seviyesi: YÜKSEK
Ürün: SAP Bussiness Objects
Etkilenen Sürümler: 410, 420, 430
Yama Tarihi: 13/10/2020
Raporlayan: Deniz ÇEVİK

Problem Detayları: SAP BusinessObjects ile birlikte gelen web servis bileşenlerinin SSRF probleminden etkilendiği tespit edilmiştir. SSRF (Server Side Request Forgery), zafiyeti barındıran sistemden harici sistemlere istek yollatılabilmesine imkan tanıyan bir problemdir. Söz konusu durum sayesinde saldırganlar bu sistem ile aynı ağda veya Internet üzerine bulunan diğer sistemlere, bu sistemin ip adresi ile herkese açık bir proxy gibi istek yollayabilmektedirler. Belirtilen problem yerel ağa erişim, kimlik gizleme, farklı sistemlere size ait bir sistem üzerinden saldırı düzenleme, port ve ağ taraması yapma gibi işlemler için rahatlıkla kötüye kullanılabilir.

Çözüm/Öneri: Belirtilen problem SAP tarafından Ekim 2020 tarihinde duyurulan yama paketi ile giderilmiştir.  Gerekli yama ve zafiyet hakkında detaylar için aşağıdaki link kullanılabilir.

https://launchpad.support.sap.com/#/notes/2943844

Referanslar:

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196

deniz.cevik
Yazar: deniz.cevik