Introduction
Une vulnérabilité (référence CVE-2022-41267) concernant les instances vers des systèmes de fichier a été détecté début décembre. En raison d’un manque de restriction dans le processus de planification, il est possible de déposer des fichiers malveillants sur le serveur hébergeant la plateforme SAP BO.
Pour la réaliser, il est nécessaire que l’utilisateur se connecte à l’application avec de faibles privilèges.
Lien vers la vulnérabilité : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41267
Est-ce que cela impacte votre déploiement ?
- SAP BusinessObjects BI Platform
Versions concernées
- Toutes les versions de SAP BusinessObjects BI Platform 4.2 avant la version 4.2 SP09 P1100
- Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP02 P800
- Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP03
Détails
L’ensemble des plateformes SAP BusinessObjects 4.2 et 4.3 sont impactées. Depuis la sortie de cette vulnérabilité, SAP a sorti deux patchs correctifs afin de pallier celle-ci.
Les patchs en question sont le patch 1100 de la version BI 4.2 SP09 et le patch 800 de la version BI 4.3 SP02. Sur ces versions, SAP a modifié la configuration de sa plateforme pour autoriser certains chemins où les fichiers sont déposés. Le Job Server va vérifier dans un fichier si le chemin est autorisé ou non. Si ce n’est pas le cas, la planification sera en erreur.
Cette vulnérabilité a un base score de 9,9 sur 10, si votre plateforme SAP BusinessObjects est accessible depuis l’extérieur de votre réseau, nous vous conseillons fortement de la patcher dans la version indiquée pour empêcher les attaques.
Si vous ne pouvez pas patcher rapidement votre plateforme, il existe une solution de contournement qui consiste à ajouter un paramétrage sur le Job Server pour créer une liste de chemin autorisé. Cependant les anciennes planifications vers des mauvais chemins seront en erreurs, il faudra les replanifier vers un chemin autorisé.