13 sierpnia 2024 roku, w ramach SAP Security Patch Day, opublikowano 17 nowych not bezpieczeństwa oraz zaktualizowano 8 wcześniejszych. Wśród najważniejszych aktualizacji znalazły się:
- CVE-2024-41730: Brak weryfikacji uwierzytelnienia w SAP BusinessObjects Business Intelligence Platform. Ocena CVSS: 9.8 (Hot News).
- CVE-2024-29415: Luka Server-Side Request Forgery w SAP Build Apps. Ocena CVSS: 9.1 (Hot News).
- CVE-2024-42374: Możliwość wstrzyknięcia XML w SAP BEx Web Java Runtime Export Web Service. Ocena CVSS: 8.2 (High).
Note# | Title | Priority | CVSS |
3479478 | [CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform Product - SAP BusinessObjects Business Intelligence Platform, Version – ENTERPRISE 430, 440 |
Hot News | 9.8 |
3477196 | [CVE-2024-29415] Server-Side Request Forgery vulnerability in applications built with SAP Build Apps Product - SAP Build Apps, Versions < 4.11.130 |
Hot News | 9.1 |
3485284 | [CVE-2024-42374] XML injection in SAP BEx Web Java Runtime Export Web Service Product- SAP BEx Web Java Runtime Export Web Service, Versions – BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5, BIWEBAPP 7.5 | High | 8.2 |
3423268 | [CVE-2023-30533] Prototype Pollution in SAP S/4 HANA (Manage Supply Protection) Product- SAP S/4 HANA, Library Versions – SheetJS CE < 0.19.3 | High | 7.8 |
3460407 | Update to Security Note released on June 2024 Patch Day: [CVE-2024-34688] Denial of service (DOS) in SAP NetWeaver AS Java (Meta Model Repository) Product- SAP NetWeaver AS Java, Version – MMR_SERVER 7.5 | High | 7.5 |
3459935 | [CVE-2024-33003] Information Disclosure Vulnerability in SAP Commerce Cloud Product- SAP Commerce Cloud, Versions – HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211 | High | 7.4 |
3466801 | Update to Security Note released on July 2024 Patch Day: [CVE-2024-39593] Information Disclosure vulnerability in SAP Landscape Management Product- SAP Landscape Management, Version – VCM 3.00 | Medium | 6.9 |
3495876 | [Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS) CVEs – CVE-2023-0215, CVE-2022-0778 , CVE-2023-0286 Product- SAP Replication Server, Versions – 16.0.3, 16.0.4 | Medium | 6.5 |
3459379 | Update to Security Note released on June 2024 Patch Day: [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service) Product - SAP Document Builder, Versions – S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747, 748 |
Medium | 6.5 |
3474590 | [CVE-2024-42376] Multiple Missing Authorization Check vulnerabilities in SAP Shared Service Framework Product- SAP Shared Service Framework, Versions – SAP_BS_FND 702, 731, 746, 747, 748 |
Medium | 6.5 |
3438085 | [CVE-2024-33005] Missing Authorization check in SAP NetWeaver Application Server (ABAP and Java), SAP Web Dispatcher and SAP Content Server Product- SAP NetWeaver Application Server (ABAP and Java), SAP Web Dispatcher and SAP Content Server, Versions – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.53, 7.77, 7.85, 7.22_EXT, 7.89, 7.54, 7.93, KERNEL 7.22, 7.53, 7.77, 7.85, 7.89, 7.54, 7.93 |
Medium | 6.3 |
3482217 | Update to Security Note released on July 2024 Patch Day: [CVE-2024-39594] Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP Business Warehouse – Business Planning and Simulation Product- SAP Business Warehouse – Business Planning and Simulation, Versions – SAP_BW 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, SAP_BW_VIRTUAL_COMP 701 |
Medium | 6.1 |
3465455 | Update to Security Note released on June 2024 Patch Day: [CVE-2024-37176] Missing Authorization check in SAP BW/4HANA Transformation and DTP Product- SAP BW/4HANA Transformation and Data Transfer Process, Versions – DW4CORE 200, 300, 400, 796, SAP_BW 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 |
Medium | 5.5 |
3483256 | [CVE-2024-41735] Cross-Site Scripting (XSS) vulnerability in SAP Commerce Backoffice Product – SAP Commerce Backoffice, Version – HY_COM 2205 |
Medium | 5.4 |
3471450 | [CVE-2024-41733] Information Disclosure Vulnerability in SAP Commerce Product – SAP Commerce, Versions – HY_COM 2205, COM_CLOUD 2211 |
Medium | 5.3 |
3487537 | [CVE-2024-41737] Server-Side Request Forgery (SSRF) in SAP CRM ABAP (Insights Management) Product – SAP CRM ABAP (Insights Management), Versions – BBPCRM 700, 701, 702, 712, 713, 714 |
Medium | 5.0 |
3458789 | Update to Security Note released on July 2024 Patch Day: [CVE-2024-34689] Server-Side Request Forgery in SAP Business Workflow (WebFlow Services) Product- SAP Business Workflow (WebFlow Services), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 |
Medium | 5.0 |
3468102 | [CVE-2024-41732] Improper Access Control in SAP Netweaver Application Server ABAP Product – SAP NetWeaver Application Server ABAP, Versions – SAP_UI 754, 755, 756, 757, 758, SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 912 |
Medium | 4.7 |
3150704 | Update to Security Note released on January 2023 Patch Day: [CVE-2023-0023] Information Disclosure in SAP Bank Account Management (Manage Banks) Product – SAP Bank Account Management (Manage Banks), Versions – 800, 900 |
Medium | 4.5 |
3433545 | [CVE-2024-42375] Multiple Unrestricted File Upload vulnerabilities in SAP BusinessObjects Business Intelligence Platform Additional CVE – CVE-2024-28166, CVE-2024-41731 Product – SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 420, 430, 440 | Medium | 4.3 |
3475427 | [CVE-2024-41736] Information Disclosure vulnerability in SAP Permit to Work Product – SAP Permit to Work, Versions – UIS4HOP1 800, 900 |
Medium | 4.3 |
3477423 | [CVE-2024-39591] Missing Authorization check in SAP Document Builder Product – SAP Document Builder, Versions – S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, S4FND 108, SAP_BS_FND 702, SAP_BS_FND 731, SAP_BS_FND 746, SAP_BS_FND 747, SAP_BS_FND 748 |
Medium | 4.3 |
3479293 | [CVE-2024-42373] Missing Authorization Check in SAP Student Life Cycle Management (SLcM) Product – SAP Student Life Cycle Management (SLcM), Versions – IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808 |
Medium | 4.3 |
3494349 | [CVE-2024-41734] Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform Product – SAP NetWeaver Application Server ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912 |
Medium | 4.3 |
3454858 | Update to Security Note released on July 2024 Patch Day: [CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Product- SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 |
Medium | 4.1 |
Rekomendacje SNOK
Jeśli chodzi o zabezpieczenie systemów SAP, najważniejsze jest natychmiastowe wdrożenie aktualizacji z sierpniowego Patch Day. Aktualizacje te eliminują krytyczne luki, które mogą być wykorzystane przez cyberprzestępców. Regularne monitorowanie systemów pozwala na szybkie wykrycie nowych zagrożeń, co z kolei umożliwia błyskawiczne wdrożenie odpowiednich poprawek. Ponadto, warto inwestować w stałe szkolenie zespołów IT. Zrozumienie przez nich najnowszych zagrożeń i metod obrony jest kluczowe dla utrzymania bezpieczeństwa całej infrastruktury. Systemy SAP, ze względu na swoją złożoność i kluczową rolę w organizacjach, wymagają szczególnej uwagi. Dlatego warto zadbać o to, by specjaliści IT byli na bieżąco z najnowszymi zagrożeniami i technologiami zabezpieczeń.
Podsumowanie
Sierpniowy SAP Security Patch Day przyniósł szereg ważnych aktualizacji, które mają na celu ochronę systemów przed nowymi zagrożeniami. Każda z tych aktualizacji jest kluczowa dla zabezpieczenia środowiska SAP i powinna być wdrożona jak najszybciej. Ignorowanie takich poprawek może prowadzić do poważnych konsekwencji, takich jak naruszenie danych czy przerwy w działaniu systemów. Warto także pamiętać, że bezpieczeństwo systemów to nie tylko kwestia wdrożenia poprawek, ale także stałej współpracy z ekspertami, którzy pomogą w interpretacji zagrożeń i dostosowaniu odpowiednich środków ochronnych. SNOK oferuje wsparcie na każdym etapie tego procesu, co pozwala na skuteczne i proaktywne zarządzanie bezpieczeństwem w środowisku SAP.