SK-CERT Bezpečnostné varovanie V20231214-06
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.1 |
Identifikátor |
SAP produkty – viacero kritických bezpečnostných zraniteľností |
Popis |
Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero kritických bezpečnostných zraniteľností. Najzávažnejšia kritická bezpečnostná zraniteľnosť sa nachádza v produkte SAP Business Technology Platform, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi eskalovať svoje privilégiá a následne získať neoprávnený prístup k citlivým údajom a vykonať neoprávnené zmeny v systéme. Ostatné zraniteľnosti umožňujú neoprávnený prístup do systému, cross-site scripting útoky, injektovanie škodlivých príkazov, obídenie autentifikácie a zneprístupnenie služby. |
Dátum prvého zverejnenia varovania |
12.12.2023 |
CVE |
CVE-2023-42476, CVE-2023-42478, CVE-2023-42479, CVE-2023-42481, CVE-2023-49058, CVE-2023-49577, CVE-2023-49578, CVE-2023-49580, CVE-2023-49581, CVE-2023-49583, CVE-2023-49584, CVE-2023-49587, CVE-2023-50422, CVE-2023-50423, CVE-2023-6542 |
IOC |
– |
Zasiahnuté systémy |
SAP Business Client SAP ECC and SAP S/4HANA SAP Business Technology Platform SAP Commerce Cloud SAP BusinessObjects Business Intelligence Platform SAP GUI for WIndows SAP GUI for Java AP EMARSYS SDK ANDROID SAP Solution Manager SAP Biller Direct SAP HCM SAPUI5 SAP Fiori Launchpad SAP NetWeaver Application Server ABAP ABAP Platform SAP Master Data Governance SAP Cloud Connector Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v časti ZDROJE |
Následky |
Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby Neoprávnený prístup do systému Vykonanie škodlivého kódu |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html |
« Späť na zoznam