Detalhes foram divulgados sobre vulnerabilidades críticas no SAP, incluindo uma cadeia de exploração “wormable”, que pode expor as organizações a ataques.

O pesquisador Fabian Hagg encontrou as falhas como parte de um projeto de pesquisa que durou três anos, com patches sendo lançados pela SAP em meados de 2021 e janeiro de 2023.

Os bugs, que incluem tanto problemas de design quanto de implementação, foram descobertos durante uma análise da interface de Chamada de Função Remota (RFC), que é projetada para comunicação entre sistemas SAP.

Duas das falhas receberam classificações de gravidade ‘críticas’ com base em sua pontuação CVSS: CVE-2021-27610 e CVE-2023-0014.

A exploração das vulnerabilidades descobertas por Hagg pode levar a um comprometimento total do sistema.

A cadeia de exploração foi descrita como tendo capacidades de ataque “wormable”, permitindo movimento lateral em ambientes SAP.

Além dos patches, alterações de configuração e “ajustes complexos do sistema” são necessários para resolver as falhas.