SAP는 2024년 8월 보안 패치 패키지를 출시했으며, 원격 공격자가 시스템을 완전히 손상시킬 수 있는 중요한 인증 우회를 포함하여 17개의 취약점을 해결했습니다.
결함은 다음과 같이 추적됩니다. CVE-2024-41730 CVSS v3.1 시스템에 따르면 9.8점으로 평가된 이 버그는 SAP BusinessObjects Business Intelligence Platform 버전 430 및 440에 영향을 미치는 “인증 확인 누락” 버그이며 특정 조건 하에서 악용이 가능합니다.
공급업체는 해당 결함에 대한 설명에서 “SAP BusinessObjects Business Intelligence Platform에서 Enterprise 인증에 Single Signed On이 활성화된 경우, 권한이 없는 사용자가 REST 엔드포인트를 사용하여 로그온 토큰을 얻을 수 있습니다.”라고 설명하고 있습니다.
“공격자는 시스템을 완전히 손상시켜 기밀성, 무결성 및 가용성에 큰 영향을 미칠 수 있습니다.”
이번에 해결된 두 번째 중요(CVSS v3.1 점수: 9.1) 취약점은 다음과 같습니다. CVE-2024-29415SAP Build Apps 4.11.130 이전 버전을 사용하여 구축된 애플리케이션의 서버 측 요청 위조 취약점입니다.
이 결함은 Node.js의 ‘IP’ 패키지의 취약점과 관련이 있는데, 이 패키지는 IP 주소가 공개인지 비공개인지 확인합니다. 8진수 표현을 사용하면 ‘127.0.0.1’을 공개 및 전역 라우팅 가능한 주소로 잘못 인식합니다.
이 결함은 CVE-2023-42282로 추적되는 유사한 문제에 대한 수정이 불완전하여 발생하며, 이로 인해 일부 사례가 공격에 취약해졌습니다.
이번 달 SAP 게시판에 나열된 나머지 수정 사항 중 “높은 심각도”(CVSS v3.1 점수: 7.4~8.2)로 분류된 4개는 다음과 같이 요약됩니다.
- CVE-2024-42374 – SAP BEx Web Java Runtime Export Web Service의 XML 주입 문제. BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5, BIWEBAPP 7.5 버전에 영향을 미칩니다.
- CVE-2023-30533 – SAP S/4 HANA의 프로토타입 오염과 관련된 결함, 특히 Manage Supply Protection 모듈 내에서 발생하며 SheetJS CE 0.19.3 이전 버전의 라이브러리 버전에 영향을 미칩니다.
- CVE-2024-34688 – SAP NetWeaver AS Java의 서비스 거부(DOS) 취약성으로, 특히 Meta Model Repository 구성 요소 버전 MMR_SERVER 7.5에 영향을 미칩니다.
- CVE-2024-33003 – SAP Commerce Cloud의 정보 공개 문제와 관련된 취약성으로, HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 및 COM_CLOUD 2211 버전에 영향을 미칩니다.
지금 업데이트를 적용하세요
SAP는 세계 최대의 ERP 공급업체이며, Forbes Global 2000 목록의 90% 이상에서 해당 제품이 사용되고 있기 때문에 해커는 매우 귀중한 기업 네트워크에 액세스할 수 있는 중요한 인증 우회 결함을 항상 찾고 있습니다.
2022년 2월, 미국 사이버 보안 및 인프라 보안국(CISA)은 관리자들에게 SAP 비즈니스 애플리케이션의 심각한 취약점을 패치하여 데이터 도난, 랜섬웨어, 임무 수행에 중요한 운영 중단을 방지할 것을 촉구했습니다.
위협 행위자들은 2020년 6월부터 2021년 3월 사이에 패치되지 않은 SAP 시스템을 악용해 최소 300건 이상 기업 네트워크에 침투했습니다.
