SAP resolve vulnerabilidade no Web Dispatcher em patch de novembro

Como parte das atualizações de segurança de novembro de 2024, a SAP lançou oito novas notas de segurança, incluindo a correção de uma vulnerabilidade de alta gravidade no Web Dispatcher, componente crítico das plataformas empresariais. Além dessas, duas notas anteriores foram atualizadas para cobrir problemas adicionais.

A vulnerabilidade mais preocupante, com pontuação CVSS de 8,8 e rastreada como CVE-2024-47590, afeta o Web Dispatcher, que é responsável por direcionar solicitações de utilizadores para os serviços SAP apropriados. Classificada como “alta prioridade”, essa falha permite ataques de cross-site scripting (XSS), o que pode comprometer a segurança de ambientes empresariais.

Em comunicado, a SAP descreve que essa falha específica é explorável por meio de scripts maliciosos executados nos navegadores das vítimas. A empresa de segurança Onapsis, especializada em proteção de sistemas SAP, esclarece que a vulnerabilidade permite que invasores não autenticados lancem ataques de request forgery no lado do servidor (SSRF) e XSS. Através dessa falha, é possível executar remotamente código no servidor SAP, o que coloca em risco a confidencialidade, integridade e disponibilidade dos dados e sistemas das empresas afetadas.

Para mitigar os riscos, a SAP recomenda que os clientes apliquem a nota de segurança o mais rapidamente possível. No entanto, clientes que não possam implementar o patch de imediato podem reduzir a exposição ao desativar a interface do administrador do Web Dispatcher, para remover a função de administração de todos os utilizadores ou excluindo arquivos específicos. Essas medidas limitam a superfície de ataque, enquanto a correção definitiva não é aplicada, garantindo mais segurança temporária para os sistemas.

Entre as notas de segurança atualizadas está a de alta prioridade emitida originalmente no patch de julho de 2024, referente a uma verificação de autorização ausente no Product Design Cost Estimating (PDCE), sob o código CVE-2024-39592. Essa falha permitia que um invasor remoto tivesse acesso a dados sensíveis da tabela do SAP PDCE. O patch atualizado introduziu uma correção também para o módulo SEM-BW 600, para bloquear as funções vulneráveis e aumentando a segurança do componente.

Outras seis falhas de gravidade média foram corrigidas em produtos como Host Agent, NetWeaver e módulos de Cash Management e Bank Account Management.

Embora não haja indícios de exploração ativa dessas falhas até ao momento, a prática de atualização proativa mantém-se como uma das melhores defesas na proteção de sistemas críticos empresariais. Nesse sentido, a SAP alerta os seus clientes para a importância de manter os sistemas atualizados, pois vulnerabilidades nos produtos da empresa são alvos comuns de agentes de ameaça.