Uma vulnerabilidade crítica abordada recentemente no SAP NetWeaver AS ABAP e na plataforma ABAP pode ser usada para configurar ataques à cadeia de suprimentos, alerta o provedor de soluções de segurança SAP SecurityBridge.

Descrito como um problema de autorização imprópria, o erro de segurança permite que um invasor adultere solicitações de transporte, e transfira artefatos de código para sistemas de produção.

As solicitações de transporte são usadas para implantar modificações em toda a linha do sistema SAP, e essas solicitações são consideradas não modificáveis uma vez exportadas.

Assim, para qualquer nova alteração, seria necessária uma solicitação diferente. No entanto, o SecurityBridge descobriu que as implantações padrão do SAP incluem um programa que permite que funcionários com níveis de autorização específicos alterem os atributos de cabeçalho das solicitações de transporte do SAP.

Por causa disso, um invasor ou um insider malicioso com permissões suficientes em um sistema comprometido tem uma janela de oportunidade entre a exportação de solicitações de transporte e sua importação em unidades de produção.