CVE-2021-44228 Log4Shell SAP

Una nuova vulnerabilità estremamente critica è stata scoperta in Apache Log4j.

Ma i sistemi SAP sono vulnerabili quindi? Cosa fare in queste situazioni?

Cosa è?

Qui sono presenti dei dettagli sulla vulnerabilità e sulle possibili mitigazioni:

• https://logging.apache.org/log4j/2.x/security.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
• https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Qui la guida del CSIRT

• https://csirt.gov.it/contenuti/vulnerabilita-log4shell-cve-2021-44228-aggiornamento-bl02-211212-csirt-ita

I sistemi SAP sono impattati da questa vulnerabilità?

È possibile cercare direttamente la CVE nel portale SAP. Dal giorno 9 dicembre 2021 quando è stata scoperta la vulnerabilità la SAP sta pubblicando continui aggiornamenti.

Alcuni sì, tra i più noti (elenco non esaustivo):

• SAP HANA: 3130698 - Remediating log4j CVE-2021-44228 vulnerability in XS Advanced Platform and applications
• SAP BTP (Business Technology Platform): 3130476 - Detecting and remediating log4j CVE-2021-44228 vulnerabilities in BTP Cloud Foudry applications
• SAP Enable NOW - 3130652 - SAP Enable Now & Apache Log4j2 issue
• SAP Business Object - 3129956 - CVE-2021-44228 - BusinessObjects impact for Log4j vulnerability
• SAP Customer Checkout and SAP Customer Checkout manager (vedi anche immagine per comunicato sopra) - 3130499 - SAP Customer Checkout and SAP Customer Checkout manager and Log4j
• SAP ETD (Enterprise Threat Detection) - 3131272 - CVE-2021-44228 Apache Log4j vulnerability in SAP Enterprise Threat Detection and ETD Log Collector
• Application Server JAVA - 3129883 - CVE-2021-44228 - AS Java Core Components' impact for Log4j vulnerability
  

La SAP ha inoltre rilasciato una "Central Note" che richiama le note OSS sull'argomento:

• 3131047 - [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component

Leggi anche questi articoli:

• Patch Day security SAP
• Patch Security
• SAP RECON
• SAP K10BLAZE

Ma cosa conviene fare?

1. Verifica e tieni aggiornata la lista delle note che hanno impatto sui sistemi SAP in azienda (attenzione questa vulnerabilità non riguarda solo sistemi SAP)
2. Nel caso di sistemi SAP vulnerabili segui le istruzioni fornite dalle note OSS
3. In caso si sistemi gestiti da fornitori, coinvolgili direttamente per avere evidenza delle verifiche
4. Nel caso di sviluppi custom, su sistemi SAP o non SAP verifica assieme agli attuali sviluppatori se sono state utilizzate librerie oggetto della vulnerabilità
5. Una volta applicate le opportune correzioni verifica che sia effettivamente così ottenendo le evidenze del caso
6. Se possibile utilizza degli strumenti per attivare e verificare in real-time se ci sono sistemi configurati non in modo corretto (ad esempio i seguenti).  Spesso a seguito della vulnerabilità (dove possibile) in questi strumenti sono integrate le logiche per identificare se i software sono esposti):
   1. Onapsis
   2. SecurityBridge
   3. Protect4S