Šta se desilo?

SAP je identifikovao kritičnu grešku u svom proizvodu Commerce Cloud. Problem leži u tome što demo kredencijali za OAuth2 klijenta, koji su navedeni u javnoj dokumentaciji, mogu ostati aktivni u produkcijskom okruženju. Ukoliko administrator ne zameni ove poznate kredencijale tokom implementacije, napadač može da ih koristi za pristup API-jima i manipuliše poverljive podatke.

Koga pogađa?

Ugrožene su sve organizacije koje koriste SAP Commerce Cloud, posebno one koje nisu izvršile inicijalne bezbednosne konfiguracije nakon instalacije. Rizik je najviši za kompanije koje imaju javno dostupne instance ili nisu pravilno ograničile pristup API-jima.

Kako se zaštititi?

  • Odmah pregledate sve OAuth2 klijente u vašoj SAP Commerce Cloud instanci
  • Zamenite sve podrazumevane demo kredencijale novim, jakim kredencijalima
  • Proverite pristupe i aktivnosti korisnika ka API-jima u SAP sistemima
  • Ograničite pristup API-jima samo na potrebne IP adrese i servise
  • Omogućite detaljno logovanje svih OAuth2 autentifikacija
  • Primenite sve dostupne bezbednosne zakrpe od SAP-a

Tehnički detalji

CVSS skor: 9.1 (kritičan nivo). Greška omogućava neautentifikovanom napadaču da koristi publicno dostupne kredencijale za pristup SAP API-jima. Uticaj je visok na poverljivost i integritet podataka. Napadač može čitati i menjati podatke u sistemu, dok dostupnost sistema nije direktno pogođena.

Preporuka Sajber Radara

Ovo je kritična greška sa visokim rizikom. Sve organizacije sa SAP Commerce Cloud instalacijama trebaju da odmah provere i zamene podrazumevane kredencijale. Obavezna je primena bezbednosne zakrpe čim postane dostupna.