«SAP» xavfsizlik yangilanishlari orqali mahsulotlarida mavjud bo’lgan yuqori darajadagi zaifliklarni bartaraf etdi
SAP (Systems, Applications, and Products in Data Processing) — bu korporativ dasturiy ta’minotlar sohasida yetakchi bo‘lgan xalqaro kompaniya bo‘lib, biznes jarayonlarini avtomatlashtirish va boshqarish uchun integratsiyalangan yechimlarni taklif etadi. SAP kompaniyasi 1972-yilda Germaniyada tashkil etilgan va hozirda dunyoning eng yirik korporativ dasturiy ta’minot ishlab chiqaruvchilaridan biri hisoblanadi.
SAP 2024 yil iyul oyida xavfsizlik yangilanishlarini chiqardi. Ushbu yangilanishda 18 ta mahsulotdagi xavflar bartaraf etilgan bo‘lib, ular orasida og‘ir darajadagi ikki muhim kamchiliklar mavjud. Bu kamchiliklar hujumchilarga maxfiy ma’lumotlar va tizimlarga ruxsatsiz kirish imkonini berishi mumkin edi.
Ushbu yangilanishdagi eng muhim kamchiliklardan biri CVE-2024-39592 hisoblanadi. Bu muammo SAP’ning Product Design Cost Estimating (PDCE) asbobini ta’sir qiladi. 7.7 CVSS reytingi bilan baholangan ushbu kamchilikda ruxsat berish tekshiruvi yetishmasligi sababli, hujumchilar umumiy jadval ma’lumotlarini ko‘rish imkoniyatiga ega bo‘lishlari mumkin edi. Bu esa, o‘z navbatida, maxfiy ma’lumotlar oshkor bo‘lish xavfini tug‘diradi.
Yana bir yuqori ustuvorlikka ega kamchilik CVE-2024-39597 bo‘lib, bu SAP Commerce tizimida uchraydi va 7.2 CVSS balliga ega. Bu kamchilik ruxsat berish tekshiruvi noto‘g‘ri amalga oshirilgani tufayli hujumchilarga parolni unutish funksiyasi orqali noto‘g‘ri sozlangan saytlarni egallash imkonini beradi.
SAP’ning iyul yangilanishida, shuningdek, turli mahsulotlardagi o‘rta darajadagi 15 ta xavfsizlik kamchiliklari ham tuzatildi. Bu muammolar Landscape Management, Document Builder, NetWeaver, CRM, Business Warehouse, S/4HANA, Business Workflow, GUI for Windows, Transportation Management va Enable Now kabi SAP mahsulotlariga ta’sir ko‘rsatadi.
Bu xavflar quyidagi muammolarni o‘z ichiga oladi:
- Ma’lumotlarni oshkor qilish,
- Cheklanmagan fayl yuklash imkoniyati,
- Yetishmaydigan ruxsat berish tekshiruvi,
- Cross-site scripting (XSS) kabi veb-saytlararo hujumlar,
- Server tarafidagi so‘rovni aldash (SSRF) xavfi.
SAP kompaniyasi hozircha ushbu zaifliklardan faol foydalanilayotganini xabar qilmagan, ammo foydalanuvchilarga yangilanishlarni imkon qadar tezroq o‘rnatishni tavsiya qilmoqda. Ilgari SAP tizimlarida aniqlangan kamchiliklar uzoq vaqt davomida hujumchilar nishoniga aylangan, hatto ularni tuzatish uchun yangilanishlar chiqarilganidan keyin ham. Shu bois, kompaniya yangilanishlarni o‘z vaqtida o‘rnatishning muhimligini yana bir bor ta’kidlamoqda.
SAP mahsulotlaridan foydalanayotgan tashkilotlar tizim va ma’lumotlar xavfsizligini ta’minlash uchun ushbu yangilanishlarni birinchi o‘rinda o‘rnatishlari kerak. Bu yangilanishlar o‘rnatilgan taqdirda, kiberxavfsizlikka oid xavf-xatarlarni kamaytirish va tizimlarining xavfsizligini yanada kuchaytirish mumkin bo‘ladi.