Softwareleverancier SAP heeft patches uitgebracht voor een aantal kwetsbaarheden in veel van zijn producten. Inmiddels waarschuwen Amerikaanse autoriteiten ervoor de kwetsbaarheden te repareren. Die hebben hoge CVSS-scores en maken remote code executions mogelijk.
SAP heeft in totaal 14 kwetsbaarheden gerepareerd tijdens zijn maandelijkse patchcyclus. Een deel daarvan repareert de log4j-kwetsbaarheid die in december werd gevonden. Het bedrijf werd op een aantal van de andere kwetsbaarheden gewezen door securitybedrijf Onapsis. Dat zag meerdere bugs in SAP's Internet Communication Manager. Onapsis noemt die verzameling bugs Icmad. De ICM-software is een belangrijk onderdeel van NetWeaver, dat in een groot deel van SAP's producten zit.
De drie kwetsbaarheden die Onapsis aandroeg, zijn CVE-2022-22536, CVE-2022-22532 en CVE-2022-22533. Die eerste is de ernstigste; die krijgt een CVSS-score van 10. De bug is volgens Onapsis makkelijk uit te buiten door alleen een payload naar een kwetsbaar systeem te sturen. Daarvoor is geen authenticatie of bepaalde configuratie nodig. Een aanvaller kan daarmee een systeem volledig overnemen of er code op uitvoeren.
De onderzoekers hebben een gratis tool beschikbaar gesteld waarmee systeembeheerders hun netwerken kunnen scannen op de kwetsbaarheid. Voor zover bekend wordt het lek niet actief uitgebuit. Inmiddels waarschuwt ook het Amerikaanse Cybersecurity and Infrastructure Security Agency voor de kwetsbaarheid. De instantie roept beheerders op de patch zo snel mogelijk te installeren.