SK-CERT Bezpečnostné varovanie V20230718-02
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
10.0 |
Identifikátor |
SAP Produkty – kritická bezpečnostná zraniteľnosť |
Popis |
Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami administrátora prostredníctvom zaslania špeciálne upravených príkazov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
11.07.2023 |
CVE |
CVE-2023-31405, CVE-2023-33987, CVE-2023-33988, CVE-2023-33989, CVE-2023-33990, CVE-2023-33991, CVE-2023-33992, CVE-2023-35870, CVE-2023-35871, CVE-2023-35872, CVE-2023-35873, CVE-2023-35874, CVE-2023-36917, CVE-2023-36918, CVE-2023-36920, CVE-2023-36921, CVE-2023-36922, CVE-2023-36924, CVE-2023-36925 |
IOC |
– |
Zasiahnuté systémy |
SAP Business Warehouse and SAP BW/4HANA SAP ERP Defense Forces and Public Security SAP NetWeaver AS for Java (Log Viewer) SAP BusinessObjects BI Platform (Enterprise) SAP NetWeaver AS ABAP and ABAP Platform SAP Enable Now SAP S/4HANA (Manage Journal Entry Template) SAP NetWeaver Process Integration (Message Display Tool) SAP Solution Manager (Diagnostic Agent) SAP Web Dispatcher SAP SQL Anywhere SAP UI5 Variant Management SAP NetWeaver (BI CONT ADD ON) SAP ECC and SAP S/4HANA SAP Business Client Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkazoch v časti ZDROJE. |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html |
« Späť na zoznam