Lỗ hổng định danh CVE-2021-38178 (CVSS 9.1) có thể bị khai thác để vượt qua Quality gates và chuyển mã ABAP do tin tặc tự tạo nhắm vào các hệ thống sản xuất.

Lỗ hổng này cho phép tin tặc giả mạo các yêu cầu Transport (Transport Requests), vượt qua các Quality gate và chuyển các artifact sang hệ thống sản xuất.

Transport Requests được sử dụng để triển khai các sửa đổi trong toàn bộ dòng hệ thống SAP và những yêu cầu này được giả định là không thể sửa đổi sau khi được đưa ra. Do đó, nếu cần bất kỳ một thay đổi nào, một Transport Requests mới sẽ được tạo ra.

Tuy nhiên, SecurityBridge phát hiện ra rằng việc triển khai SAP tiêu chuẩn bao gồm một chương trình cho phép nhân viên với một cấp độ ủy quyền cụ thể có thể thay đổi các thuộc tính tiêu đề của các SAP Transport Requests.

Qua đó, tin tặc với đủ đặc quyền trong một hệ thống bị xâm nhập có khả năng tác động vào việc xuất các Transport Request với việc thay đổi trang thái phát hành từ "Released" thành "Modifiable" và nhập nó vào đơn vị sản xuất.

Một Transport Request có thể bị giả mạo sau khi đã vượt qua tất cả các Quality gate và tin tặc có thể thêm mã độc, thực thi sau khi xâm nhập vào hệ thống mục tiêu. Từ đó, dẫn đến các cuộc tấn công chuỗi cung ứng.

Lỗ hổng này ảnh hưởng tới tất cả môi trường SAP sử dụng Transport Directory ở các cấp độ khác nhau. Các tổ chức, doanh nghiệp nên cập nhật bản vá và kiểm tra các Transport Request trước khi nhập vào quy trình sản xuất.