CVE-2022-22536:SAP补丁互联网通信管理员高级Desync

SAPOnapsis研究实验室协作披露三种关键漏洞影响SAPNetWeaver应用服务器最重三者可能导致全系统接收

后台

2月8日SAP披露互联网通信管理员中几处漏洞NetWeaver应用服务器同Onapsis安全研究人员协调发现缺陷SAP和Onapsis都行发布写出他们的合伙发现并补补这些缺陷网络安全基础设施安全局立即发布警告表示开发可能导致中断操作、数据窃取、欺诈和索要软件攻击

SAPNetweaver应用集成服务器为SAP大多数应用集成软件库,包括关键业务功能解决方案,如企业资源规划、客户关系管理及供应链管理

分析

Onapsis研究实验室发现SAP应用内ICM组件的三个关键漏洞Onapsis威胁报告显示,脆弱ICM组件“出现在大多数SAP产品中,是SAP技术栈整体的关键部分”,使这些漏洞成为SAP产品部署企业的主要关注点。因为该组件连接SAP应用到互联网上,在大多数部署中默认暴露

CVE202222536内存管道消同步弱点,CVSSv3最高分为10.0Onapsis命名缺陷ICMAD互联网通信管理员高级Desync非认证远程攻击者可使用简单HTTP请求开发漏洞并实现全系统接收CVE-2022-22536除最关键外,还具有三大漏洞最广效果,影响SAP网织Jaava或ABAP应用并预设配置

CVE20222532hTTP请求走私漏洞Onapsis列成免费后使用脆弱点SAPNetWeaverJaCVSSv3评分8.1不要求验证或用户交互开发根据Onapsis报告 某些复杂[开发]假想 可能导致远程代码执行

CVE20222533内存管道管理泄漏可能导致拒绝服务并只影响SAP应用服务器ava系统并获得7.5CVSSv3分攻击者使用特制HTTP请求消耗所有MPI资源

概念证明

Onapsis研究实验室发布Github扫描脚本供组织检测SAP实例是否易受CVE-2022-22536reme文件扫描器提醒注意,此脚本最努力识别脆弱实例,无法提供百分百精度

求解

作为其每月安全补丁日的一部分,SAP发布HotNews安全注解312396并3123427CVE2022-22536和CVE2022-22532下表列表SAP产品补丁CVE2022-22533目前不在2022补丁日页面上

CVE系统	描述性	产品类
CVE202222536	内存流水分解	SAP网络发送器版本:7.49、7.53、7.77、7.81、7.85、7.22EXT、7.86、7.87SAP内容服务器版本:7.53SAPNetweaver和ABAP平台版本:KERNEL7.22、8.04、7.49、7.53、7.77、7.81、7.85、7.86、7.87、KRNL64UC8.04、7.22、7.22EXT、7.49、7.53、7.53、KRNL64NUC7.22、7.22EXT
CVE20222532	HTTP请求免费后走私/使用	SAPNetWever应用服务器ava版本:KRNL64NUC 7.22、7.22EXT、7.49、KRNL64UC、7.22、7.22EXT、7.49、7.53、7.49、7.53

识别受影响的系统

可租插件列表识别这些漏洞来因为他们被释放

获取更多信息

• SAP二月安全补丁网页
• onapsis威胁报告

加入腾布尔安全响应队房东社区

深入了解开云app充值 网络接触平台对现代攻击面进行整体管理

获取a免费30天审判Tenable.io漏洞管理