CISA提醒SAP用戶修補重大漏洞

美國網路安全暨基礎架構管理署（CISA）周二（2/8）呼籲，SAP用戶應該儘速修補該公司於本月修補的重大漏洞。

在微軟帶動每個月第二個周二的修補風潮之後，有許多企業都選擇在同一天進行修補，事實上，CISA在本周二的修補提醒並不僅限於SAP，還包括微軟、Mozilla、Citrix與Adobe，只是坊間絕大多數的修補訊息都圍繞在微軟。

身為全球企業資源管理龍頭，SAP在8日修補了逾20個安全漏洞，當中就有8個漏洞的CVSS風險評分高達10。由於許多組織都採用SAP軟體來進行企業資源規畫、產品生命周期管理、客戶關係管理或供應鏈管理等重要功能，而相關漏洞則可能引發資料外洩、金融詐欺、破壞重要商業程序，甚至是造成勒索軟體攻擊及營運中斷等，促使CISA提出警告。

當中有3個安全漏洞是由資安業者Onapsis Research Labs所提報，這3個漏洞全都涉及許多SAP軟體所採用的網路通訊管理（Internet Communication Manager，ICM）元件，它們是CVE-2022-22536、CVE-2022-22532與CVE-2022-22533，其CVSS風險評分分別為10、8.1與7.5。

Onapsis表示，該公司與SAP都建議用戶應該優先修補CVE-2022-22536及CVE-2022-22532，因為這兩個漏洞一旦被成功開採，駭客就能針對SAP的客戶或軟體程序進行惡意程式攻擊，進而危害相關的SAP軟體，且大多數的SAP軟體都含有ICM。

Onapsis亦釋出了開源工具，以供SAP用戶檢查系統上是否含有CVE-2022-22536漏洞。