Bezpieczny Wtorek ze SNOK: Kluczowe Aktualizacje z Lipcowego SAP Security Patch Day

Bezpieczny wtorek ze SNOK: Kluczowe aktualizacje z lipcowego SAP Security Patch Day

Bezpieczny Wtorek ze SNOK: Kluczowe Aktualizacje z Lipcowego SAP Security Patch Day

Lipcowy SAP Security Patch Day przyniósł kolejne istotne aktualizacje zabezpieczeń, które mają na celu ochronę systemów SAP przed nowymi zagrożeniami i podatnościami. W tym miesiącu SAP opublikował szereg not zabezpieczeń obejmujących różne produkty i moduły. Poniżej przedstawiamy najważniejsze z nich.

Najważniejsze noty zabezpieczeń

  1. CVE-2024-39592: Brak kontroli autoryzacji w SAP PDCE. Ocena CVSS wynosi 7.7, a problem dotyczy modułu FIN-BA. Aktualizacja ta jest kluczowa, aby zapobiec nieautoryzowanemu dostępowi do danych.
  2. CVE-2024-39597: Niewłaściwe kontrole autoryzacji na wczesnym logowaniu do SAP Commerce. Ocena CVSS wynosi 7.2. Dotyczy SAP Commerce w wersji publicznej i on-premise. Ważne jest zastosowanie odpowiednich kroków naprawczych w zależności od wersji.
  3. CVE-2024-34683: Nieograniczone przesyłanie plików w SAP Document Builder. Ta podatność, oceniona na 6.5, jest kluczowa dla ochrony przed potencjalnym wstrzykiwaniem złośliwego kodu przez użytkowników.
  4. CVE-2024-34685: Podatność na cross-site scripting (XSS) w SAP NetWeaver Knowledge Management XMLEditor. Ocena CVSS wynosi 6.1. Aktualizacja jest konieczna, aby zapobiec atakom XSS.
  5. CVE-2024-37180: Ujawnienie informacji w SAP NetWeaver Application Server dla ABAP i ABAP Platform. Ocena CVSS wynosi 4.1. Aktualizacja ta pomaga chronić poufne informacje przed nieautoryzowanym dostępem.

Rekomendacje SNOK

Zgodnie z naszymi najlepszymi praktykami, rekomendujemy następujące działania, aby zabezpieczyć Państwa systemy SAP:

  1. Regularne Audyty Zabezpieczeń: Zalecamy regularne przeprowadzanie audytów zabezpieczeń systemów SAP, aby wcześnie wykrywać i eliminować potencjalne słabości.
  2. Szybka Implementacja Aktualizacji: Pilne wdrożenie wszystkich wymienionych aktualizacji zabezpieczeń jest kluczowe dla ochrony przed zagrożeniami. Upewnij się, że Twój zespół IT jest na bieżąco z najnowszymi notami zabezpieczeń i szybko je implementuje.
  3. Szkolenia dla Zespołów IT: Regularne szkolenia i webinary dla zespołów IT pomogą im lepiej zrozumieć nowe zagrożenia oraz skutecznie je neutralizować. SNOK oferuje specjalistyczne szkolenia dostosowane do indywidualnych potrzeb Twojej organizacji.
  4. Wdrożenie Narzędzi Monitorujących: Użycie zaawansowanych narzędzi do monitorowania i zarządzania bezpieczeństwem, takich jak SAP Solution Manager, może znacząco poprawić bezpieczeństwo Twojej infrastruktury SAP.
  5. Stała Współpraca z Ekspertami: Współpraca z doświadczonymi konsultantami ds. bezpieczeństwa, takimi jak eksperci SNOK, zapewnia dostęp do najnowszych rozwiązań i najlepszych praktyk w zakresie zabezpieczeń SAP.

Podsumowanie

Lipcowy SAP Security Patch Day przynosi kluczowe aktualizacje, które są niezbędne do ochrony systemów SAP przed nowymi podatnościami. Regularne stosowanie tych aktualizacji oraz ścisła współpraca z zespołem IT mogą znacząco zwiększyć bezpieczeństwo i stabilność systemów SAP w Twojej organizacji. Zachęcamy do kontaktu z naszym zespołem SNOK, aby uzyskać pomoc w implementacji tych aktualizacji oraz dalszych krokach w zakresie zabezpieczeń SAP.

Note Description Severity CVSS
3483344 [CVE-2024-39592] Missing Authorization check in SAP PDCE
Priority: Correction with high priority
Released on: 09.07.2024
Components: FIN-BA
Category: Program error
High 7.7
3490515 [CVE-2024-39597] Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce
Priority: Correction with high priority
Released on: 09.07.2024
Components: CEC-SCC-COM-BC-CS
Category: Program error
High 7.2
3466801 [CVE-2024-39593] Information Disclosure vulnerability in SAP Landscape Management
Priority: Correction with medium priority
Released on: 09.07.2024
Components: BC-VCM-LVM
Category: Program error
Medium 6.9
3459379 [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service)
Priority: Correction with medium priority
Released on: 11.06.2024
Components: CA-GTF-DOB
Category: Program error
Medium 6.5
3468681 [CVE-2024-34685] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Knowledge Management XMLEditor
Priority: Correction with medium priority
Released on: 09.07.2024
Components: EP-PIN-WPC-WCM
Category: Program error
Medium 6.1
3482217 [CVE-2024-39594] Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP Business Warehouse – Business Planning and Simulation
Priority: Correction with medium priority
Released on: 09.07.2024
Components: BW-PLA-BPS
Category: Program error
Medium 6.1
3467377 [Multiple CVEs] Multiple vulnerabilities in SAP CRM (WebClient UI)
Priority: Correction with medium priority
Released on: 09.07.2024
Components: CA-WUI-UI
Category: Program error
Medium 6.1
3457354 [CVE-2024-37172] Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management)
Priority: Correction with medium priority
Released on: 09.07.2024
Components: FIN-FSCM-PF-IHB
Category: Program error
Medium 5.4
3483993 [CVE-2024-34689] Prerequisite for Security Note 3458789
Priority: Correction with medium priority
Released on: 09.07.2024
Components: BC-BMT-WFM
Category: Program error
Medium 5.0
3485805 [CVE-2024-34689] Allowlisting of callback-URLs in SAP Business Workflow (WebFlow Services)
Priority: Correction with medium priority
Released on: 09.07.2024
Components: BC-BMT-WFM
Category: Upgrade information
Medium 5.0
3469958 [CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal)
Priority: Correction with medium priority
Released on: 09.07.2024
Components: TM-CP
Category: Program error
Medium 5.0
3461110 [CVE-2024-39600] Information Disclosure vulnerability in SAP GUI for Windows
Priority: Correction with medium priority
Released on: 09.07.2024
Components: BC-FES-GUI
Category: Program error
Medium 5.0
3458789 [CVE-2024-34689] Server-Side Request Forgery in SAP Business Workflow (WebFlow Services)
Priority: Correction with medium priority
Released on: 09.07.2024
Components: BC-BMT-WFM
Category: Program error
Medium 5.0
3456952 [CVE-2024-39599] Protection Mechanism Failure in SAP NetWeaver Application Server for ABAP and ABAP Platform
Priority: Correction with medium priority
Released on: 09.07.2024
Components: BC-MID-ICF
Category: Program error
Medium 4.7
3476348 [CVE-2024-39596] Missing Authorization check vulnerability in SAP Enable Now
Priority: Correction with medium priority
Released on: 09.07.2024
Components: KM-SEN-MGR
Category: Upgrade information
Medium 4.3
3101986 Prepare CSP support for On-Premise down port for code dependency in SAP CRM WebClient UI
Priority: Correction with medium priority
Released on: 12.04.2022
Components: CA-WUI-UI
Category: Program error
Medium 4.1
3454858 [CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform
Priority: Correction with medium priority
Released on: 09.07.2024
Components: BC-SRV-DX-DXW
Category: Program error
Medium 4.1
3476340 [CVE-2024-34692] Unrestricted File upload vulnerability in SAP Enable Now
Priority: Correction with low priority
Released on: 09.07.2024
Components: KM-SEN-MGR
Category: Upgrade information
Low 3.3