SK-CERT Bezpečnostné varovanie V20250513-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
10.0 |
| Identifikátor |
| SAP produkty – dve kritické bezpečnostné zraniteľnosti |
| Popis |
| Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú dve označené ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-31324 sa nachádza v produkte SAP NetWeaver (Visual Composer development server), spočíva v nedostatočnej implementácii bezpečnostných mechanizmov komponentu Metadata Uploader a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených binárnych súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Druhá kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-42999 sa nachádza v produkte SAP NetWeaver (Visual Composer development server), spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami administrátora zaslať špeciálne vytvorený škodlivý obsah, ktorého deserializáciou dôjde k vykonaniu škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby a vykonať škodlivý kód. Na uvedené zraniteľnosti je v súčasnosti voľne dostupný Proof-of-Concept kód a sú aktívne zneužívané útočníkmi. Zneužitie niektorých zraniteľností vyžaduje interakciu používateľa. |
| Dátum prvého zverejnenia varovania |
| 13.5.2025 |
| CVE |
| CVE-2024-39592, CVE-2025-26662, CVE-2025-30009, CVE-2025-30010, CVE-2025-30011, CVE-2025-30012, CVE-2025-30018, CVE-2025-31324, CVE-2025-31329, CVE-2025-42997, CVE-2025-42999, CVE-2025-43000, CVE-2025-43002, CVE-2025-43003, CVE-2025-43004, CVE-2025-43005, CVE-2025-43006, CVE-2025-43007, CVE-2025-43008, CVE-2025-43009, CVE-2025-43010, CVE-2025-43011 |
| IOC |
| Filenames: usage.jsp webhelp.jsp helper.jsp .webhelper.jsp coresap.jsp cache.jsp forwardsap.jsp coresap.jsp webshell: 4c9e60cc73e87da4cadc51523690d67549de4902e880974bfacf7f1a8dc40d7d Cache.jsp webshell: 794cb0a92f51e1387a6b316b8b5ff83d33a51ecf9bf7cc8e88a619ecb64f1dcf Helper.jsp webshell: 1f72bd2643995fab4ecf7150b6367fa1b3fab17afd2abed30a98f075e4913087 Random 8-character names ([a-z]{8}).jsp b3e4c4018f2d18ec93a62f59b5f7341321aff70d08812a4839b762ad3ade74ee usage1.jsp SHA256: 404_error.jsp .h.jsp |
| Zasiahnuté systémy |
| SAP Business Objects Business Intelligence Platform (PMW) SAP Data Services Management Console SAP Digital Manufacturing (Production Operator Dashboard) SAP Gateway Client SAP GUI for Windows SAP Landscape Transformation (PCL Basis) SAP NetWeaver (Visual Composer development server) SAP NetWeaver Application Server ABAP and ABAP Platform SAP PDCE SAP S/4HANA (Private Cloud & On-Premise) SAP S/4HANA Cloud Private Edition or on Premise (SCM Master Data Layer (MDL)) SAP S/4HANA HCM Portugal SAP ERP HCM Portugal SAP S4/HANA (OData meta-data property) SAP Service Parts Management (SPM) SAP Supplier Relationship Management (Live Auction Cockpit) SAP Supplier Relationship Management (Master Data Management Catalog) Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE |
| Následky |
| Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. V prípade, že aktualizácia systému nie je možná, dočasne obmedziť prístup ku komponentu Metadata Uploader, deaktivovať komponent Visual Composer a implementovať dočasnú mitigáciu od výrobcu založenú na scenári z KBA 3593336 Detailné inštrukcie môžete nájsť na webovej adrese: <a href="https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/">https://onapsis.com/blog/active-exploitation-of-sap-vulnerability-cve-2025-31324/</a> Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti. |
| Zdroje |
|
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html https://nvd.nist.gov/vuln/detail/CVE-2025-31324 https://nvd.nist.gov/vuln/detail/CVE-2025-42999 |
« Späť na zoznam
