จากข้อมูล SAP Security Patch Day – August 2021 ที่ได้มีการอัพเดตเมื่อวันที่ 10 สิงหาคม 2564 ที่ผ่านมา (ตามปกติ SAP จะทำการอัพเดตทุกวันอังคารที่สองของเดือน) โดยในรอบนี้จะมีเพียงแค่ 15 ตัว ซึ่งพอๆ กับเมื่อเดือนที่ผ่านมา แต่ถ้าพิจารณา patch ที่เป็น critical คือ Hot news และ Highpriority ที่มีรวมกันถึง 8 ตัวเมื่อเทียบกับเดือนที่แล้วที่มีแค่ 4 ตัวแถมเป็นการ update Hot news ทั้งสองตัว ก็ถือว่าค่อนข้างเป็นข่าวไม่ค่อยดีเท่าไหร่ในเดือนนี้ โดยในเดือนนี้มี Hot news ทั้งหมด 3 ตัว High priority 5 ตัว และ Medium priority 7 ตัว โดยในรอบนี้ไม่มี Low priority เลย โดยหากท่านต้องการทราบรายละเอียดเพิ่มเติมสามารถติดตามได้ในลิงค์
สำหรับช่องโหว่ที่เป็น Hot news และ High priority ในเดือนนี้ทั้งหมด 8 ตัวนั้นล้วนเป็นตัวใหม่ทั้งสิ้น โดยเทคนิคที่ใช้ในการเจาะช่องโหว่เหล่านี้ก็ล้วนมาจากช่องโหว่ TOP 10 ของ OWASP อันได้แก่
– Cross-Site Scripting (XSS)
– SQL Injection
– Unrestricted File Upload
– Server-Side Request Forgery (SSRF)
– Task Hijacking
– Missing Authentication check
– URL Redirection vulnerability
– Reverse Tabnabbing
(ท่านสามารถหาความรู้เกี่ยวกับช่องโหว่ TOP 10 ของ OWASP ได้จากเว็บ https://owasp.org/?fbclid=IwAR1EA8H8FB7H8-bnXRb6p3UrcDLwz8f9dIRZwQ7uzRreeQF8GSxs5Ny_VZg
หรือในภาษาไทยก็มีผู้เขียนเกี่ยวกับช่องโหว่ TOP 10 เยอะแยะ สามารถค้นหาจาก Google ได้เลยนะครับ)
ส่ำหรับช่องโหว่ Hot news ตัวแรกก็คือ SAP Security Note #3071984 [CVE-2021-33698] Unrestricted File Upload vulnerability in SAP Business One ซึ่งมีค่า CVSS สูงถึง 9.9 เกิดจากช่องโหว่ใน SAP Business One ที่อนุญาตให้ผู้โจมตีอัปโหลดไฟล์ รวมถึงไฟล์สคริปต์ไปยังเซิร์ฟเวอร์ ถือเป็นความเสี่ยงที่รุนแรงมากเพราะผู้โจมตีสามารถใช้ไฟล์ที่โหลดขึ้นไปเพื่อทำการครอบครองเป้าหมายได้ในที่สุด แต่เพราะช่องโหว่นี้ยังจำเป็นที่จะต้องมีการได้รับอนุญาตสิทธิ์ขั้นต่ำก่อนจึงจะทำได้ ทำให้ค่า CVSS ไม่เต็มสิบคะแนน โชคดีที่มีวิธีแก้ไขปัญหาชั่วคราวสำหรับลูกค้าที่ไม่สามารถอัพเดตโปรแกรมแก้ไขได้ทันที โดยพวกเขาสามารถปิดใช้งานฟังก์ชันที่ได้รับผลกระทบได้เช่นกัน แต่เช่นเคย SAP เน้นย้ำว่าวิธีแก้ปัญหานี้ควรได้รับการพิจารณาว่าเป็นการแก้ไขชั่วคราวมากกว่าวิธีแก้ปัญหาแบบถาวร ดังนั้นคุณจึงควรอัพเดตแพทซ์ในทันทีที่คุณสามารถทำได้
นอกจากนี้ยังมีอีกช่องโหว่ที่มีค่า CVSS 9.9 เท่ากัน ก็คือ SAP Security Note #3072955 [CVE-2021-33690] Server Side Request Forgery vulnerability in SAP NetWeaver Development Infrastructure (Component Build Service) โดยเซิฟเล็ตของ Component Build Service (CBS) ใน SAP NetWeaver Development Infrastructure (SAP NWDI) ถูกเปิดเผยสู่ภายนอก ทำให้ผู้โจมตีสามารถโจมตีด้วยพร็อกซี่โดยส่งการสืบค้นที่สร้างขึ้นมา โดยผลกระทบของช่องโหว่นี้ขึ้นอยู่กับว่า SAP NWDI ทำงานบนอินทราเน็ตหรืออินเทอร์เน็ตหรือไม่ หากทำงานบนอินเทอร์เน็ต ช่องโหว่นี้อาจทำให้ข้อมูลสำคัญที่อยู่บนเซิร์ฟเวอร์จะถูกยึดครองได้อย่างสมบูรณ์ และส่งผลกระทบต่อความพร้อมใช้งานของเซิร์ฟเวอร์
*The Component Build Service (CBS) ก็คือ J2EE-based database application ที่มีการจัดเก็บไฟล์ archives ทั้งหมดที่ใช้หรือสร้างขึ้นในระหว่างการพัฒนาซอฟต์แวร์ในบิลด์สเปซ คุณสามารถโหลดไฟล์เก็บถาวรที่เป็นปัจจุบันของส่วนประกอบอ้างอิงที่โหลดบนเครื่องของนักพัฒนา และคุณสามารถอัปเดตได้หากจำเป็น
สำหรับ HotNews ตัวสุดท้ายของเดือนนี้ก็คือ SAP Security Note #3078312 [CVE-2021-33701] SQL Injection vulnerability in SAP NZDT Row Count Reconciliation ซึ่งมีค่า CVSS 9.1 เกิดจากช่องโหว่ SQL Injection ในเครื่องมือ Near Zero Downtime (NZDT) ของ DMIS Mobile Plug-In หรือ SAP S/4HANA เครื่องมือนี้ใช้โดยบริการ nZDT ที่สอดคล้องกันของ SAP เพื่ใช้ในการอัปเกรดระบบที่ปรับให้เหมาะสมกับเวลาและการแปลงระบบ เมื่อใช้บริการ nZDT การบำรุงรักษาจะดำเนินการบนโคลนของระบบที่ใช้งานจริง การเปลี่ยนแปลงทั้งหมดจะถูกบันทึกและโอนไปยังโคลนหลังจากงานบำรุงรักษาเสร็จสิ้น ในระหว่างการหยุดทำงานครั้งสุดท้าย มีการดำเนินการเพียงไม่กี่กิจกรรม รวมถึงการสลับการผลิตเป็นระบบใหม่ (ตัวโคลน)
นอกจากคำแนะนำในการแก้ไขที่มาพร้อมกับโน้ตตัวนี้แล้ว ยังมีวิธีแก้ปัญหาสำหรับลูกค้าทุกคนที่เปิดใช้งานการตรวจสอบรันไทม์ของ Unified Connectivity (UCON) วิธีแก้ปัญหาสำหรับช่องโหว่ภายในเครื่องมือที่ใช้โดยบริการ nZDT คือการไม่กำหนดโมดูลฟังก์ชันที่เปิดใช้งานระยะไกลที่ใช้กับ Communication Assembly (CA) ใน UCON เพียงเท่านี้ผู้โจมตีก็จะไม่สามารถเข้าถึงช่องโหว่นี้จากอินเตอร์เน็ตได้อีกต่อไป
สำหรับ 3 ใน 5 ของ High Priority ในรอบนี้เกิดขึ้นกับ SAP NetWeaver Enterprise Portal โดย 2 ใน 3 นั้นมีคะแนน CVSS เท่ากันที่ 8.3 ตะแนน นั่นก็คือ SAP Security Note #3073681 [CVE-2021-33702] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal และ SAP Security Note #3072920 [CVE-2021-33703] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal
โดยที่ Security Note #3073681 เกิดจากช่องโหว่ Cross-Site Scripting (XSS) ที่เกิดจากหนึ่งในเซิร์ฟเล็ตของพอร์ทัล มีการจัดการที่ไม่ดีพอทำให้สามารถแทรก Javascript ลงในหน้าเว็บที่เกี่ยวข้องได้ ดังนั้นหากเหยื่อมีการค้นไปยังเซิร์ฟเล็ตที่ติดไวรัส สคริปต์ที่มีช่องโหว่จะถูกเรียกขึ้นมาดำเนินการในเบราว์เซอร์ของพวกเขาด้วย และแม้ว่าผลกระทบที่เกิดขึ้นจะถือว่ารุนแรงแต่เทคนิคที่ใช้ค่อนข้างมีความซับซ้อนสูงและต้องมีการโต้ตอบกับผู้ใช้เพื่อให้การใช้ประโยชน์จากช่องโหว่นั้นประสบความสำเร็จ คะแนน CVSS แค่ 8.3 และ Security Note #3072920 ก็เกิดจากช่องโหว่ที่คล้ายกันมากในเซิร์ฟเล็ตอื่นของ SAP NetWeaver Enterprise Portal ดังนั้นจึงไม่น่าแปลกใจที่มันมีค่า CVSS และเวกเตอร์เหมือนกันกับที่กำหนดใน Security Note #3073681
สำหรับ High Priority Note ตัวที่สามคือ SAP Security Note #3074844 [CVE-2021-33705] Server-Side Request Forgery (SSRF) vulnerability in SAP NetWeaver Enterprise Portal มีค่าคะแนน CVSS 8.1 เกิดจากช่องโหว่ Server Side Request Forgery (SSRF) ซึ่งเป็นหนึ่งในองค์ประกอบเวลาออกแบบของ SAP NetWeaver Enterprise Portal ที่อนุญาตให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สร้าง URL ที่เป็นอันตราย ซึ่งเมื่อผู้ใช้คลิก สามารถส่งคำขอประเภทใดก็ได้ (เช่น POST, GET) ไปยังเซิร์ฟเวอร์ภายในหรือภายนอกได้
สำหรับ High Priority Note ตัวที่ 4 ก็คือ SAP Security Note #3067219 [CVE-2021-33699] Task Hijacking in SAP Fiori Client Native Mobile for Android มีค่าคะแนน CVSS 7.6 เกิดจากช่องโหว่ของ Task Hijacking ใน SAP Fiori Client Native Mobile สำหรับ Android ตามที่ SAP บอกเอาไว้ ช่องโหว่นี้ช่วยให้ผู้โจมตีเข้าควบคุมแอพที่ถูกต้องและขโมยข้อมูลที่ละเอียดอ่อนของผู้ใช้ โดยวิธีแก้ปัญหาชั่วคราวสำหรับลูกค้า SAP ทำได้โดยใช้ customized Fiori client แต่อย่างไรก็ตาม วิธีแก้ปัญหานี้ขึ้นอยู่กับวิธีการที่ใช้สร้าง customized Fiori client
สำหรับ High Priority Note ตัวสุดท้ายคือ SAP Security Note #3073325 [CVE-2021-33700] Missing Authentication check in SAP Business One มีค่าคะแนน CVSS 7 เกิดจากช่องโหว่ Missing Authentication ใน SAP Business One โดยช่องโหว่นี้สามารถเปิดใช้งานโดยผู้โจมตีที่สามารถเข้าถึงเบราว์เซอร์ของเหยื่อเพื่อเข้าสู่ระบบในฐานะเหยื่อโดยไม่จำเป็นต้องทราบรหัสผ่านของพวกเขา ผู้โจมตีสามารถรับข้อมูลที่ละเอียดอ่อนสูงและใช้เพื่อควบคุมแอปพลิเคชันที่มีช่องโหว่ ถึงแม้ทาง SAP จะมีวิธีแก้ไขปัญหาชั่วคราวที่เป็นทางเลือกมาให้ แต่ดูเหมือนว่าจะไม่เพียงพอ จึงจำเป็นต้องทำการแพทซ์โดยด่วนสำหรับ SAP Business One เพื่อที่จะแก้ไขไปพร้อม ๆ กับ HotNews Note #3071984 ที่กล่าวถึงในตอนต้น (รวมถึงช่องโหว่ SAP Business One ใน SAP Security Note #3078072 มีค่าคะแนน CVSS 6.3) ดังนั้นเพื่อความปลอดภัยของท่านจึงขอแนะนำอย่างยิ่งว่าควรอัพเดตแพทซ์สำหรัย SAP Business One โดยด่วนแทนวิธีแก้ปัญหาแบบชั่วคราว
ขอบคุณข้อมูลจาก Facebook Page: SAP เราต้องรอด
