Bezpieczny wtorek ze SNOK - Kluczowe aktualizacje z lutowego SAP Patch Day

Bezpieczny wtorek ze SNOK – Kluczowe aktualizacje z lutowego SAP Patch Day

Bezpieczny wtorek ze SNOK - Kluczowe aktualizacje z lutowego SAP Patch Day

Lutowy SAP Patch Day to moment, w którym branża IT z wypiekami na twarzach śledzi najnowsze aktualizacje bezpieczeństwa od SAP. W tym roku nie było inaczej, a luty przyniósł nam aż dwadzieścia sześć nowych i zaktualizowanych notatek bezpieczeństwa, w tym jedną notatkę HotNews i pięć notatek o wysokim priorytecie. Dla specjalistów od SAP, takich jak my w SNOK, jest to kluczowy moment, aby zapewnić, że systemy naszych klientów są zabezpieczone przed najnowszymi zagrożeniami.

Co nowego w lutym? 

Wśród wydań znalazła się notatka HotNews dotycząca SAP Business Client, która załatała pięćdziesiąt cztery luki w Chromium, w tym dwadzieścia dwa patche o wysokim priorytecie. Najwyższy wynik CVSS spośród wszystkich załatanych luk to 8.8, co pokazuje, jak poważne mogą być te zagrożenia. 

Jednak to nie wszystko. Dwie z pięciu notatek o wysokim priorytecie to zaktualizowane wersje wcześniej wydanych notatek, które po raz pierwszy pojawiły się w grudniu. Dotyczą one m.in. SAP Host Agent i SAP Business Planning and Consolidation, gdzie najpoważniejsza luka umożliwiała wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami administratora. 

Szczegóły nowych notatek o wysokim priorytecie 

Wśród nowych notatek o wysokim priorytecie znalazła się jedna, która dotyczyła SAP Host Agent. Luka ta pozwalała nieautoryzowanemu użytkownikowi z lokalnym dostępem do portu serwera przypisanego do usługi SAP Host Agent na wysłanie specjalnie spreparowanego żądania usługi sieciowej z dowolnym poleceniem systemu operacyjnego, które było wykonywane z uprawnieniami administratora. To poważne zagrożenie dla poufności, integralności i dostępności systemu. 

Dlaczego to ważne dla SNOK i naszych klientów? 

Jako złoty partner SAP w SNOK doskonale rozumiemy znaczenie utrzymania najwyższego poziomu bezpieczeństwa systemów naszych klientów. Lutowy SAP Patch Day to przypomnienie o ciągłej potrzebie monitorowania i aktualizacji systemów w celu ochrony przed nowymi i ewoluującymi zagrożeniami. 

Jak SNOK pomaga klientom w zarządzaniu patchami? 

W SNOK oferujemy kompleksowe usługi w zakresie SAP BASIS, analiz SAP, cyberbezpieczeństwa i pentestów SAP oraz zaufanego doradztwa w tych dziedzinach. Nasze doświadczenie i partnerstwa pozwalają nam nie tylko śledzić najnowsze aktualizacje bezpieczeństwa od SAP, ale także efektywnie zarządzać i implementować te aktualizacje w systemach naszych klientów. 

Podsumowanie 

Lutowy SAP Patch Day przyniósł szereg ważnych aktualizacji, które mają na celu ochronę systemów SAP przed najnowszymi zagrożeniami. W SNOK dbamy o to, żeby nasze usługi i rozwiązania były zawsze na bieżąco z najlepszymi praktykami bezpieczeństwa, aby nasi klienci mogli skupić się na swojej działalności, wiedząc, że ich systemy są bezpieczne. 

W dzisiejszych czasach, kiedy cyberzagrożenia ewoluują z dnia na dzień, nie można lekceważyć znaczenia regularnych aktualizacji bezpieczeństwa.  

Zachęcamy wszystkich administratorów SAP do regularnego monitorowania wydań SAP Patch Day i wdrażania zalecanych aktualizacji. Pamiętajcie, że bezpieczeństwo systemów to proces, a nie jednorazowe działanie. W SNOK jesteśmy tutaj, aby wspierać Was w tym procesie, oferując naszą wiedzę, doświadczenie i dedykowane usługi. 

Dodatek – szczegółowe noty z lutowego SAP Patch Day 

SAP Note  Type  Description  Priority  CVSS 
2622660  Update  Security updates for the browser control Google Chromium delivered with SAP Business Client BC-FES-BUS-DSKK  HotNews  10,0 
3271091  Update  [CVE-2022-41268] Privilege escalation vulnerability in SAP Business Planning and Consolidation EPM-BPC-NW  High  8,5 
3256787  New  [CVE-2023-24530] Unrestricted Upload of File in SAP BusinessObjects Business Intelligence Platform (CMC) BI-BIP-CMC  High  8,4 
3287291  New  [CVE-2023-23854] Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform BC-DWB-TOO-ABA  Low  3,8 
3285757  New  [CVE-2023-24523] Privilege Escalation vulnerability in SAP Host Agent (Start Service) BC-CCM-HAG  High  8,8 
2788178  New  [CVE-2023-24525] Cross-Site Scripting (XSS) vulnerability in SAP CRM WebClient UI CA-WUI-UI-TAG  Medium  4,3 
2985905  New  [CVE-2023-24524] Missing Authorization check in SAP S/4 HANA Map Treasury Correspondence Format Data CA-GTF-CSC-DME  Medium  6,5 
3275841  New  [CVE-2023-23851] Unrestricted File Upload in SAP Business Planning and Consolidation EPM-BPC-NW-INF  Medium  5,4 
3293786  New  [CVE-2023-23858] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-ABA-LA  Medium  6,1 
3281724  New  [CVE-2023-0019] Missing Authorization check in SAP GRC (Process Control) GRC-SPC-AC  Medium  6,5 
3290901  New  [CVE-2023-24528] Missing Authorization Check in SAP Fiori apps for Travel Management in SAP ERP (My Travel Requests) FI-TV-ODT-MTR  Medium  6,5 
3282663  New  [CVE-2023-24529] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (Business Server Pages application) CA-GTF-PCF    Medium  6,1 
3274585  New  [CVE-2023-25614] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP  Medium  6,1 
3269118  New  [CVE-2023-24522] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP  Medium  6,1 
3269151  New  [CVE-2023-24521] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS ABAP (BSP Framework) BC-BSP  Medium  6,1 
3271227  New  [CVE-2023-23853] URL Redirection vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform BC-MID-ICF  Medium  6,1 
3268959  New  [Multiple CVEs] Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform BC-MID-AC  Medium  6,1 
3266751  New  [CVE-2023-23852] Cross-Site Scripting (XSS) vulnerability in SAP Solution Manager 7.2 SV-SMG-MON-SYS  Medium  6,1 
3265846  New  [CVE-2023-0024] Cross Site Scripting in SAP Solution Manager (BSP Application) SV-SMG-SVD-SWB  Medium  6,5 
3267442  New  [CVE-2023-0025] Cross Site Scripting in SAP Solution Manager (BSP Application) SV-SMG-SVD-SWB  Medium  6,5 
3270509  New  [CVE-2023-23855] URL Redirection vulnerability in SAP Solution Manager SV-SMG-OP  Medium  6,5 
3263135  New  [CVE-2023-0020] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence platform BI-BIP-INV  High  8,5 
3263863  New  [CVE-2023-23856] Cross-Site Scripting (XSS) vulnerability in Web Intelligence Interface BI-RA-WBI-FE  Medium  4,3 
3262544  Update  [CVE-2022-41262] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for Java (Http Provider Service) BC-JAS-WEB  Medium  6,1 
3268172  Update  [CVE-2022-41264] Code Injection vulnerability in SAP BASIS BC-DB-HDB-POR  High  8,8 
3283283  Update  [CVE-2023-0013] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-ABA-LA  Medium  6,1