【Black Hat】SAP漏洞已遭利用

上周四，CISA又在“已知利用漏洞分类”中增加了七个漏洞，并要求联邦机构在9月8日前修复。虽然其中几个新增漏洞中并不存在说明在野利用的公开报告，但CISA此前曾澄清表示，只添加拥有关于恶意利用的可靠信息的CVE漏洞。

厂商已于2月份在 NetWeaver Appliation Server ABAP、Netweaver Application Server Java、ABAP Platform、Content Server 7.53 和 Web Dispatcher 中修复该漏洞。

Onapsis 公司当时提醒称，CVE-2022-22536 和CVE-20532可被组合利用，但截至目前CVE-2022-22532并未遭利用。该公司研究员Martin Doyhenard 在8月10日的黑帽大会上以及在8月13日的 Def Con大会上发表演讲，说明了对SAP HTTP服务器中进程间通信的利用，详述了这两个内存损坏漏洞。该公司还发布了长达18页的研究报告详述自己的研究成果。

报告指出，“CVE-2022-22536和CVE-2022-22532都可遭远程利用，可被未认证攻击者完全攻陷地球上的任何SAP安装。”

虽然目前并不存在关于利用CVE-2022-22536的公开信息，但CISA在今年2月份提醒称，利用可导致敏感数据被盗、金融欺诈、任务关键业务进程破坏或部署恶意软件等后果。

Onapsis 公司的首席技术官 JP Perez-Etchegoyen 指出，“近几天，我们发现威胁活动增多，尤其是和CVE-2022-22536的攻击活动增多。我们仍在调查此事，现在对归属的任何评估都为时过早。利用该漏洞对攻击者具有价值，因为可借此窃取用户会话，最终攻陷任何业务应用。Onapsis 与SAP、CISA和其它CERT进行协作，以便所有的SAP客户均拥有必要信息，以了解并管理该严重风险，甚至是发布开源扫描工具，自动评估系统是否易受攻击。因此，通过实时威胁情报，继续评估SAP系统中是否存在漏洞非常有必要。”

CISA还新增了影响微软产品的两个缺陷，目前尚不存在关于它们已遭在野利用的报告。这两个漏洞，一个是CVE-2022-21971，是微软在2月份修复的一个Windows 远程代码执行漏洞。当前，微软在安全公告中表示它并未遭利用或公开披露，并将其可利用评估写为“利用的可能性不大”。然而，至少在3月份，已经出现了关于该漏洞的PoC。

第二个漏洞是CVE-2022-26923，它是影响活动目录域名服务的提权漏洞。微软在5月份发布补丁，之后几天，PoC 利用现身。

CISA还在必修清单中列出了苹果在上周修复的两个iOS 和 macOS 漏洞、谷歌修复的一个Chrome 漏洞，以及影响 Palo Alto Networks 设备的在2017年出现的漏洞CVE-2017-15944。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~