Lipcowy SAP Security Patch Day przyniósł kolejne istotne aktualizacje zabezpieczeń, które mają na celu ochronę systemów SAP przed nowymi zagrożeniami i podatnościami. W tym miesiącu SAP opublikował szereg not zabezpieczeń obejmujących różne produkty i moduły. Poniżej przedstawiamy najważniejsze z nich.
Najważniejsze noty zabezpieczeń
-
CVE-2024-39592: Brak kontroli autoryzacji w SAP PDCE. Ocena CVSS wynosi 7.7, a problem dotyczy modułu FIN-BA. Aktualizacja ta jest kluczowa, aby zapobiec nieautoryzowanemu dostępowi do danych.
-
CVE-2024-39597: Niewłaściwe kontrole autoryzacji na wczesnym logowaniu do SAP Commerce. Ocena CVSS wynosi 7.2. Dotyczy SAP Commerce w wersji publicznej i on-premise. Ważne jest zastosowanie odpowiednich kroków naprawczych w zależności od wersji.
-
CVE-2024-34683: Nieograniczone przesyłanie plików w SAP Document Builder. Ta podatność, oceniona na 6.5, jest kluczowa dla ochrony przed potencjalnym wstrzykiwaniem złośliwego kodu przez użytkowników.
-
CVE-2024-34685: Podatność na cross-site scripting (XSS) w SAP NetWeaver Knowledge Management XMLEditor. Ocena CVSS wynosi 6.1. Aktualizacja jest konieczna, aby zapobiec atakom XSS.
-
CVE-2024-37180: Ujawnienie informacji w SAP NetWeaver Application Server dla ABAP i ABAP Platform. Ocena CVSS wynosi 4.1. Aktualizacja ta pomaga chronić poufne informacje przed nieautoryzowanym dostępem.
Rekomendacje SNOK
Zgodnie z naszymi najlepszymi praktykami, rekomendujemy następujące działania, aby zabezpieczyć Państwa systemy SAP:
-
Regularne Audyty Zabezpieczeń: Zalecamy regularne przeprowadzanie audytów zabezpieczeń systemów SAP, aby wcześnie wykrywać i eliminować potencjalne słabości.
-
Szybka Implementacja Aktualizacji: Pilne wdrożenie wszystkich wymienionych aktualizacji zabezpieczeń jest kluczowe dla ochrony przed zagrożeniami. Upewnij się, że Twój zespół IT jest na bieżąco z najnowszymi notami zabezpieczeń i szybko je implementuje.
-
Szkolenia dla Zespołów IT: Regularne szkolenia i webinary dla zespołów IT pomogą im lepiej zrozumieć nowe zagrożenia oraz skutecznie je neutralizować. SNOK oferuje specjalistyczne szkolenia dostosowane do indywidualnych potrzeb Twojej organizacji.
-
Wdrożenie Narzędzi Monitorujących: Użycie zaawansowanych narzędzi do monitorowania i zarządzania bezpieczeństwem, takich jak SAP Solution Manager, może znacząco poprawić bezpieczeństwo Twojej infrastruktury SAP.
-
Stała Współpraca z Ekspertami: Współpraca z doświadczonymi konsultantami ds. bezpieczeństwa, takimi jak eksperci SNOK, zapewnia dostęp do najnowszych rozwiązań i najlepszych praktyk w zakresie zabezpieczeń SAP.
Podsumowanie
Lipcowy SAP Security Patch Day przynosi kluczowe aktualizacje, które są niezbędne do ochrony systemów SAP przed nowymi podatnościami. Regularne stosowanie tych aktualizacji oraz ścisła współpraca z zespołem IT mogą znacząco zwiększyć bezpieczeństwo i stabilność systemów SAP w Twojej organizacji. Zachęcamy do kontaktu z naszym zespołem SNOK, aby uzyskać pomoc w implementacji tych aktualizacji oraz dalszych krokach w zakresie zabezpieczeń SAP.
Note Description Severity CVSS
3483344 [CVE-2024-39592] Missing Authorization check in SAP PDCE Priority: Correction with high priority Released on: 09.07.2024 Components: FIN-BA Category: Program error High 7.7
3490515 [CVE-2024-39597] Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce Priority: Correction with high priority Released on: 09.07.2024 Components: CEC-SCC-COM-BC-CS Category: Program error High 7.2
3466801 [CVE-2024-39593] Information Disclosure vulnerability in SAP Landscape Management Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-VCM-LVM Category: Program error Medium 6.9
3459379 [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service) Priority: Correction with medium priority Released on: 11.06.2024 Components: CA-GTF-DOB Category: Program error Medium 6.5
3468681 [CVE-2024-34685] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Knowledge Management XMLEditor Priority: Correction with medium priority Released on: 09.07.2024 Components: EP-PIN-WPC-WCM Category: Program error Medium 6.1
3482217 [CVE-2024-39594] Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP Business Warehouse - Business Planning and Simulation Priority: Correction with medium priority Released on: 09.07.2024 Components: BW-PLA-BPS Category: Program error Medium 6.1
3467377 [Multiple CVEs] Multiple vulnerabilities in SAP CRM (WebClient UI) Priority: Correction with medium priority Released on: 09.07.2024 Components: CA-WUI-UI Category: Program error Medium 6.1
3457354 [CVE-2024-37172] Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management) Priority: Correction with medium priority Released on: 09.07.2024 Components: FIN-FSCM-PF-IHB Category: Program error Medium 5.4
3483993 [CVE-2024-34689] Prerequisite for Security Note 3458789 Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Program error Medium 5.0
3485805 [CVE-2024-34689] Allowlisting of callback-URLs in SAP Business Workflow (WebFlow Services) Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Upgrade information Medium 5.0
3469958 [CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal) Priority: Correction with medium priority Released on: 09.07.2024 Components: TM-CP Category: Program error Medium 5.0
3461110 [CVE-2024-39600] Information Disclosure vulnerability in SAP GUI for Windows Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-FES-GUI Category: Program error Medium 5.0
3458789 [CVE-2024-34689] Server-Side Request Forgery in SAP Business Workflow (WebFlow Services) Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-BMT-WFM Category: Program error Medium 5.0
3456952 [CVE-2024-39599] Protection Mechanism Failure in SAP NetWeaver Application Server for ABAP and ABAP Platform Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-MID-ICF Category: Program error Medium 4.7
3476348 [CVE-2024-39596] Missing Authorization check vulnerability in SAP Enable Now Priority: Correction with medium priority Released on: 09.07.2024 Components: KM-SEN-MGR Category: Upgrade information Medium 4.3
3101986 Prepare CSP support for On-Premise down port for code dependency in SAP CRM WebClient UI Priority: Correction with medium priority Released on: 12.04.2022 Components: CA-WUI-UI Category: Program error Medium 4.1
3454858 [CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Priority: Correction with medium priority Released on: 09.07.2024 Components: BC-SRV-DX-DXW Category: Program error Medium 4.1
3476340 [CVE-2024-34692] Unrestricted File upload vulnerability in SAP Enable Now Priority: Correction with low priority Released on: 09.07.2024 Components: KM-SEN-MGR Category: Upgrade information Low 3.3