SK-CERT Bezpečnostné varovanie V20240109-04
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.1 |
Identifikátor |
SAP produkty – viacero kritických bezpečnostných zraniteľností |
Popis |
Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero kritických bezpečnostných zraniteľností. Najzávažnejšia kritická bezpečnostná zraniteľnosť sa nachádza v produkte SAP BTP, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky eskalovať svoje privilégiá na zasiahnutom systéme, získať neoprávnený prístup k citlivým údajom a vykonať neoprávnené zmeny v systéme. |
Dátum prvého zverejnenia varovania |
09.01.2024 |
CVE |
CVE-2023-31405, CVE-2023-44487, CVE-2023-49583, CVE-2023-50422, CVE-2023-50423, CVE-2023-50424, CVE-2024-21734, CVE-2024-21735, CVE-2024-21736, CVE-2024-21737, CVE-2024-21738, CVE-2024-22124, CVE-2024-22125 |
IOC |
– |
Zasiahnuté systémy |
SAP Business Application Studio SAP Web IDE Full-Stack SAP Web IDE pre SAP HANA SAP Edge Integration Cell SAP Business Technology Platform (BTP) SAP Application Interface Framework SAP Web Dispatcher SAP NetWeaver Application server ABAP ABAP Platform SAP GUI connector for Microsoft Edge SAP LT Replication Server SAP NetWeaver Internet Communication Manager SAP Marketing Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v časti ZDROJE |
Následky |
Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html https://nvd.nist.gov/vuln/detail/CVE-2023-50424 |
« Späť na zoznam