Bezpieczny wtorek ze SNOK: Kluczowe aktualizacje z czerwcowego SAP Patch Day 

Bezpieczny wtorek ze SNOK: Kluczowe aktualizacje z czerwcowego SAP Patch Day 

Bezpieczny wtorek ze SNOK: Kluczowe aktualizacje z czerwcowego SAP Patch Day 

Czerwiec przyniósł nam kolejny zestaw aktualizacji bezpieczeństwa od SAP, który obejmuje 12 nowych i zaktualizowanych not bezpieczeństwa. Poniżej przedstawiamy najważniejsze informacje dotyczące tych aktualizacji, które pomogą chronić Twoje środowisko SAP przed najnowszymi zagrożeniami. 

Cross-Site Scripting (XSS)

Trzy noty bezpieczeństwa dotyczą luk XSS o różnych poziomach istotności (CVSS 6.1 – 8.1). Problemy te dotyczą m.in. SAP Financial Consolidation oraz WebClient UI w SAP CRM. Każda z tych luk umożliwia atakującemu wstrzyknięcie złośliwego kodu, co może prowadzić do kompromitacji interakcji użytkownika z aplikacją webową. 

Denial-of-Service (DoS)

Dwie noty dotyczą luk typu DoS, które mogą sparaliżować działanie systemu poprzez przeciążenie go. Noty te odnoszą się do SAP AS Java oraz SAP NetWeaver i ABAP platform, gdzie brak odpowiednich kontroli autoryzacyjnych może pozwolić na wykonanie ataku. 

Nieautoryzowane przesyłanie plików

Jedna z not opisuje lukę w SAP Document Builder, która umożliwia nieautoryzowane przesyłanie plików. Aby zabezpieczyć system, należy zainstalować łatkę lub skonfigurować odpowiednie profile antywirusowe dla określonych typów MIME. 

Kontrole autoryzacyjne

Cztery noty dotyczą brakujących kontroli autoryzacyjnych w różnych modułach SAP, takich jak S/4 HANA, BW/4HANA oraz SAP Student Life Cycle Management. Luki te mogą umożliwić nieuprawniony dostęp do danych i funkcji systemu. 

Ujawnienie informacji

Dwie noty dotyczą ujawnienia wrażliwych informacji. Dotyczą one SAP NetWeaver AS Java oraz SAP BusinessObjects Business Intelligence Platform, gdzie nieuprawniony dostęp do danych może prowadzić do poważnych naruszeń bezpieczeństwa. 

Rekomendacje SNOK

Zachęcamy do natychmiastowego zastosowania dostępnych łatek, aby zminimalizować ryzyko ataków. Aktualizacje zabezpieczeń są kluczowym elementem ochrony Twojego środowiska SAP przed nowymi zagrożeniami. Warto również regularnie monitorować stan bezpieczeństwa swoich systemów SAP i korzystać z narzędzi do zarządzania łatkami, które oferują pełny przegląd i analizę potencjalnych zagrożeń. 

W kontekście regularnego monitorowania zalecamy wykorzystanie zaawansowanych rozwiązań do ciągłego nadzorowania i audytowania systemów. Regularne skanowanie i ocena konfiguracji mogą wykryć potencjalne luki jeszcze przed ich wykorzystaniem przez cyberprzestępców. 

Ponadto, nie zapominaj o edukacji pracowników – ich świadomość w zakresie bezpieczeństwa IT jest nieoceniona. Prowadzenie regularnych szkoleń oraz symulacji ataków phishingowych może znacznie zmniejszyć ryzyko skutecznych ataków socjotechnicznych. 

Dodatkowo, warto rozważyć implementację mechanizmów detekcji i odpowiedzi na incydenty (EDR), które pozwalają na szybkie reagowanie na wykryte zagrożenia. W połączeniu z politykami backupowymi, które umożliwiają szybkie przywrócenie danych w razie awarii, tworzy to kompleksową strategię zabezpieczeń. 

W SNOK jesteśmy gotowi wspierać naszych klientów w implementacji najlepszych praktyk i rozwiązań w zakresie bezpieczeństwa SAP. Nasze doświadczenie oraz zaawansowane narzędzia pozwalają na efektywne zarządzanie ryzykiem i zapewnienie ciągłości działania Twojej organizacji. 

Konkluzja

Czerwcowe aktualizacje SAP Security Patch Day to kluczowy element strategii zarządzania bezpieczeństwem IT. Regularne aktualizowanie systemów i dokładna analiza nowych not bezpieczeństwa pomagają zapobiegać potencjalnym atakom i chronić dane organizacji. W SNOK jesteśmy gotowi wspierać naszych klientów w implementacji najlepszych praktyk i rozwiązań w zakresie bezpieczeństwa SAP. 

Pamiętaj, że cyberbezpieczeństwo to proces ciągły. Bądź na bieżąco z najnowszymi zagrożeniami i reaguj szybko na pojawiające się luki. Razem możemy zbudować bezpieczniejsze środowisko IT dla Twojej organizacji. 

Jeśli masz pytania dotyczące najnowszych aktualizacji lub potrzebujesz wsparcia w zarządzaniu bezpieczeństwem SAP, skontaktuj się z nami. Jesteśmy tutaj, aby pomóc! 

Note#  Title  Severity  CVSS 
3457592  [CVE-2024-37177] Cross-Site Scripting (XSS) vulnerabilities in SAP Financial Consolidation 
Product – SAP Financial Consolidation, Version – FINANCE 1010 
High  8.1 
3460407  [CVE-2024-34688] Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository) 
Product – SAP NetWeaver AS Java, Version – MMR_SERVER 7.5 
High  7.5 
3453170  [CVE-2024-33001] Denial of service (DOS) in SAP NetWeaver and ABAP platform Product- SAP NetWeaver and ABAP platform, Versions – ST-PI 2008_1_700, 2008_1_710, 740  Medium  6.5 
3459379  [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service) Product- SAP Document Builder, Versions – S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747, 748  Medium  6.5 
3466175  [CVE-2024-34691] Missing Authorization check in SAP S/4HANA (Manage Incoming Payment Files) Product- SAP S/4HANA (Manage Incoming Payment Files), Versions – S4CORE 102, 103, 104, 105, 106, 107, 108  Medium   6.5 
3465129  [CVE-2024-34686] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) Product- SAP CRM WebClient UI, Versions – S4FND 102, 103, 104, 105, 106, 107, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800, 801  Medium   6.1 
3450286  Update to Security Note released on May 2024 Patch Day: [CVE-2024-32733] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform Product- SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795, SAP_BASIS 796  Medium   6.1 
3465455  [CVE-2024-37176] Missing Authorization check in SAP BW/4HANA Transformation and DTP 
Product - SAP BW/4HANA Transformation and Data Transfer Process, Versions – DW4CORE 200, 300, 400, 796, SAP_BW 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 
Medium  5.5 
3457265    [CVE-2024-34690] Missing Authorization check in SAP Student Life Cycle Management (SLcM) 
Product- SAP Student Life Cycle Management, Versions – IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808 
Medium   5.4   
3425571  [CVE-2024-28164] Information Disclosure vulnerability in SAP NetWeaver AS Java (Guided Procedures) 
Product – SAP NetWeaver AS Java, Version – GP-CORE 7.5 
 
Medium  5.3 
2638217  Update to Security Note released on June 2018 Patch Day: Switchable Authorization Checks in Central Finance Infrastructure Components 
Product – Central Finance Infrastructure Components, Versions – SAP_FIN 720, 730, SAPSCORE 114, S4CORE 100, 101, 102 
Low  3.9 
3441817  [CVE-2024-34684] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Scheduling) 
Product – SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 420, 430, 440 
Low  3.7