Több kritikus besorolású sérülékenységre is adott ki a márciusi frissítés keretében javítást az SAP. A 16 javítócsomagból három esik ebbe a kategóriába, sőt az egyik a legmagasabb, azaz 10-es CVSS (Common Vulnerability Scoring System) besorolást kapta.

A két legsúlyosabb kockázat a Solution Managerhez kötődik. CVSS szerinti 10-es besorolást kapott sérülékenység (CVE-2020-6207) a rendszerek központi felügyeletét biztosító alkalmazás User-Experience Monitoring részét érinti, a másik, 9,8 pontos besorolású sérülékenység (CVE-2020-6198) pedig a Diagnostics Agentet. Utóbbit, amelynek feladata a kommunikáció, a monitoring és a diagnosztikai visszajelzések kezelése, egyébként minden gazdagépre telepíteni kell a Solution Manager használatához.

A CVE-2020-6207 jelű sérülékenység alapértelmezett konfigurációk esetén használható ki. A nem hitelesített támadó távolról hajthat végre operációs rendszer parancsokat minden gazdagépen a Diagnostic Agent nevében. A támadó utána lényegében képes lesz kiaknázni a többi sebezhetőséget is, így akár a teljes SAP-környezethez hozzá tud férni.

A CVE-2020-6198 jelű sérülékenységet kihasználva a potenciális támadó megkerülheti a hitelesítést. Így akkor is tud támadást idítani a hálózaton, aki nem rendelkezik Solution Manager-felhasználói jogosultsággal. Ezt a sérülékenység azért különösen veszélyes, mert kiaknázásához nem kellenek magas szintű jogosultságok.

Szintén magas CVSS-értékelést kapott az a NetWeaver UDDI Server összetevőben javított hiba (CVE-2020-6203), ami a könyvtárak elérési útvonalának validálásával függ össze.

Van más foltozandó rés is

Van négy súlyos biztonsági javítást is kiadott. Ezek közül a legfontosabbnak a CVE-2020-6208 jelű, amely a BusinessObjects üzleti intelligencia platformját, a Crystal Reportsot érinti. Ez a rés a jogosulatlan parancsfuttatástól az alkalmazás teljes lefagyasztásáig sokféleképpen kiaknázható. Ez a biztonsági rés csak azért kapott súlyos – és nem kritikus –  besorolást, mert a támadónak felhasználói interakcióra is szüksége van a sikerhez.

Emellett kapott javítócsomagot többek között a Disclosure Management (CVE-2020-6209), valamint a BusinessObjects Mobile (CVE-2020-6196) – utóbbiban egy DoS támadásra lehetőséget küszöböltek ki.

Az SAP egy 2018 augusztusában kiadott javítócsomagjához is adott frissítést, aminek telepítésével az SAP MaxDB/liveCache-ben lehet kiküszöbölni az SQL-befecskendezésre épülő támadásokat. A javítások keretében az SAP javította az SAP Business Clienthez adott Google Chromium böngészővezérlőt is, amely így már a böngészőt a február elején kiadott 80-as verzióra frissíti.

A frissítésekről részletes elemzést készítettek az SAP és Oracle rendszerek biztonságára specializálódott Onapsis kutatói.