Lipcowy SAP Security Patch Day przyniósł kolejne istotne aktualizacje zabezpieczeń, które mają na celu ochronę systemów SAP przed nowymi zagrożeniami i podatnościami. W tym miesiącu SAP opublikował szereg not zabezpieczeń obejmujących różne produkty i moduły. Poniżej przedstawiamy najważniejsze z nich.
Najważniejsze noty zabezpieczeń
- CVE-2024-39592: Brak kontroli autoryzacji w SAP PDCE. Ocena CVSS wynosi 7.7, a problem dotyczy modułu FIN-BA. Aktualizacja ta jest kluczowa, aby zapobiec nieautoryzowanemu dostępowi do danych.
- CVE-2024-39597: Niewłaściwe kontrole autoryzacji na wczesnym logowaniu do SAP Commerce. Ocena CVSS wynosi 7.2. Dotyczy SAP Commerce w wersji publicznej i on-premise. Ważne jest zastosowanie odpowiednich kroków naprawczych w zależności od wersji.
- CVE-2024-34683: Nieograniczone przesyłanie plików w SAP Document Builder. Ta podatność, oceniona na 6.5, jest kluczowa dla ochrony przed potencjalnym wstrzykiwaniem złośliwego kodu przez użytkowników.
- CVE-2024-34685: Podatność na cross-site scripting (XSS) w SAP NetWeaver Knowledge Management XMLEditor. Ocena CVSS wynosi 6.1. Aktualizacja jest konieczna, aby zapobiec atakom XSS.
- CVE-2024-37180: Ujawnienie informacji w SAP NetWeaver Application Server dla ABAP i ABAP Platform. Ocena CVSS wynosi 4.1. Aktualizacja ta pomaga chronić poufne informacje przed nieautoryzowanym dostępem.
Rekomendacje SNOK
Zgodnie z naszymi najlepszymi praktykami, rekomendujemy następujące działania, aby zabezpieczyć Państwa systemy SAP:
- Regularne Audyty Zabezpieczeń: Zalecamy regularne przeprowadzanie audytów zabezpieczeń systemów SAP, aby wcześnie wykrywać i eliminować potencjalne słabości.
- Szybka Implementacja Aktualizacji: Pilne wdrożenie wszystkich wymienionych aktualizacji zabezpieczeń jest kluczowe dla ochrony przed zagrożeniami. Upewnij się, że Twój zespół IT jest na bieżąco z najnowszymi notami zabezpieczeń i szybko je implementuje.
- Szkolenia dla Zespołów IT: Regularne szkolenia i webinary dla zespołów IT pomogą im lepiej zrozumieć nowe zagrożenia oraz skutecznie je neutralizować. SNOK oferuje specjalistyczne szkolenia dostosowane do indywidualnych potrzeb Twojej organizacji.
- Wdrożenie Narzędzi Monitorujących: Użycie zaawansowanych narzędzi do monitorowania i zarządzania bezpieczeństwem, takich jak SAP Solution Manager, może znacząco poprawić bezpieczeństwo Twojej infrastruktury SAP.
- Stała Współpraca z Ekspertami: Współpraca z doświadczonymi konsultantami ds. bezpieczeństwa, takimi jak eksperci SNOK, zapewnia dostęp do najnowszych rozwiązań i najlepszych praktyk w zakresie zabezpieczeń SAP.
Podsumowanie
Lipcowy SAP Security Patch Day przynosi kluczowe aktualizacje, które są niezbędne do ochrony systemów SAP przed nowymi podatnościami. Regularne stosowanie tych aktualizacji oraz ścisła współpraca z zespołem IT mogą znacząco zwiększyć bezpieczeństwo i stabilność systemów SAP w Twojej organizacji. Zachęcamy do kontaktu z naszym zespołem SNOK, aby uzyskać pomoc w implementacji tych aktualizacji oraz dalszych krokach w zakresie zabezpieczeń SAP.
Note | Description | Severity | CVSS |
3483344 | [CVE-2024-39592] Missing Authorization check in SAP PDCE Priority: Correction with high priority Released on: 09.07.2024 Components: FIN-BA Category: Program error |
High | 7.7 |
3490515 | [CVE-2024-39597] Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce Priority: Correction with high priority Released on: 09.07.2024 Components: CEC-SCC-COM-BC-CS Category: Program error |
High | 7.2 |
3466801 | [CVE-2024-39593] Information Disclosure vulnerability in SAP Landscape Management Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-VCM-LVM Category: Program error |
Medium | 6.9 |
3459379 | [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service) Priority: Correction with medium priority Released on: 11.06.2024 Components: CA-GTF-DOB Category: Program error |
Medium | 6.5 |
3468681 | [CVE-2024-34685] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Knowledge Management XMLEditor Priority: Correction with medium priority Released on: 09.07.2024 Components: EP-PIN-WPC-WCM Category: Program error |
Medium | 6.1 |
3482217 | [CVE-2024-39594] Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP Business Warehouse – Business Planning and Simulation Priority: Correction with medium priority Released on: 09.07.2024 Components: BW-PLA-BPS Category: Program error |
Medium | 6.1 |
3467377 | [Multiple CVEs] Multiple vulnerabilities in SAP CRM (WebClient UI) Priority: Correction with medium priority Released on: 09.07.2024 Components: CA-WUI-UI Category: Program error |
Medium | 6.1 |
3457354 | [CVE-2024-37172] Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management) Priority: Correction with medium priority Released on: 09.07.2024 Components: FIN-FSCM-PF-IHB Category: Program error |
Medium | 5.4 |
3483993 | [CVE-2024-34689] Prerequisite for Security Note 3458789 Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Program error |
Medium | 5.0 |
3485805 | [CVE-2024-34689] Allowlisting of callback-URLs in SAP Business Workflow (WebFlow Services) Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Upgrade information |
Medium | 5.0 |
3469958 | [CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal) Priority: Correction with medium priority Released on: 09.07.2024 Components: TM-CP Category: Program error |
Medium | 5.0 |
3461110 | [CVE-2024-39600] Information Disclosure vulnerability in SAP GUI for Windows Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-FES-GUI Category: Program error |
Medium | 5.0 |
3458789 | [CVE-2024-34689] Server-Side Request Forgery in SAP Business Workflow (WebFlow Services) Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Program error |
Medium | 5.0 |
3456952 | [CVE-2024-39599] Protection Mechanism Failure in SAP NetWeaver Application Server for ABAP and ABAP Platform Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-MID-ICF Category: Program error |
Medium | 4.7 |
3476348 | [CVE-2024-39596] Missing Authorization check vulnerability in SAP Enable Now Priority: Correction with medium priority Released on: 09.07.2024 Components: KM-SEN-MGR Category: Upgrade information |
Medium | 4.3 |
3101986 | Prepare CSP support for On-Premise down port for code dependency in SAP CRM WebClient UI Priority: Correction with medium priority Released on: 12.04.2022 Components: CA-WUI-UI Category: Program error |
Medium | 4.1 |
3454858 | [CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-SRV-DX-DXW Category: Program error |
Medium | 4.1 |
3476340 | [CVE-2024-34692] Unrestricted File upload vulnerability in SAP Enable Now Priority: Correction with low priority Released on: 09.07.2024 Components: KM-SEN-MGR Category: Upgrade information |
Low | 3.3 |