SK-CERT Bezpečnostné varovanie V20210408-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
10.0 |
Identifikátor |
SAP produkty – viacero kritických bezpečnostných zraniteľností |
Popis |
Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero kritických bezpečnostných zraniteľností. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi. |
Dátum prvého zverejnenia varovania |
06.04.2021 |
CVE |
CVE-2010-5326, CVE-2016-3976, CVE-2016-9563, CVE-2018-2380, CVE-2020-6207, CVE-2020-6287 |
IOC |
– |
Zasiahnuté systémy |
SAP NetWeaver AS JAVA (LM Configurationn Wizard) verzie 7.30, 7.31, 7.40, 7.50 SAP Enterprise Resource Planning SAP Product Lifecycle Management SAP Customer Relationship Management SAP Supply Chain Management SAP Supplier Relationship Management SAP NetWeaver Business Warehouse SAP Business Intelligence SAP NetWeaver Mobile Infrastructure SAP Enterprise Portal SAP Process Orchestration/Process Integration) SAP Solution Manager SAP NetWeaver Development Infrastructure SAP Central Process Scheduling SAP NetWeaver Composition Environment SAP Landscape Manager |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosť systému |
Odporúčania |
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov a ťiež vypnúť funkciu LM Configuration Wizard. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam