Kritické zraniteľnosti SAP umožňujú vykonávať kód aj získať citlivé údaje

Spoločnosť SAP v marci opravila vo svojich produktoch 19 zraniteľností, z ktorých 5 je kritických. Útočníkom umožňujú vzdialene vykonávať príkazy, zasahovať do systémových súborov, získavať citlivé informácie a spôsobiť nedostupnosť služieb.

Zraniteľné systémy:

SAP Business Intelligence Platform, verzie 420 a 430

SAP Business Objects Business Intelligence Platform, verzie 420 a 430

SAP NetWeaver AS for Java, verzia 7.50

SAP NetWeaver Application Server for ABAP, verzie 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, a 791

Opis činnosti:

Spoločnosť SAP opravila vo svojom softvéri 19 zraniteľností, z ktorých 5 dostalo štatút kritickej.

CVE-2023-25616 (CVSS v3 9,9)

Kritická zraniteľnosť v SAP Business Intelligence Platform, ktorá umožňuje injektovať kód a získať prístup ku zdrojom dostupným pre používateľov s vyššími oprávneniami.

CVE-2023-23857 (CVSS v3 9,8)

Kritická zraniteľnosť v SAP NetWeaver AS for Java. Jej zneužitie môže viesť k nedostupnosti služby, úniku citlivých informáciímožnosti manipulácie s údajmi. Zneužiť pre vykonávanie neautorizovaných operácií ju môže neautentifikovaný útočník prístupom na služby pomocou API.

CVE-2023-27269 (CVSS v3 9,6)

Kritická zraniteľnosť v SAP NetWeaver Application Server for ABAP, ktorá umožňuje prepisovať systémové súbory bežným používateľom.

CVE-2023-27500 (CVSS v3 9,6)

Kritická zraniteľnosť v SAP NetWeaver Application Server for ABAP, konkrétne v SAPRSBRO, ktorá umožňuje neautentifikovanému útočníkovi prepisovať systémové súbory. To môže viesť k nedostupnosti služby.

CVE-2023-25617 (CVSS v3 9,0)

Kritická zraniteľnosť v SAP Business Objects Business Intelligence Platform, ktorá umožňuje vzdialenému autentifikovanému útočníkovi vykonávať ľubovoľné príkazy na systémoch Unix pomocou BI Launchpad, Central Management Console alebo aplikáciách postavených na Java SDK. Musí byť povolené vykonávanie programových objektov.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Únik citlivých informácií
  • Zápis do súborového systému

Odporúčania:

Bezodkladná aktualizácia zraniteľných produktov SAP na aktuálne verzie.

Odkazy:

https://www.bleepingcomputer.com/news/security/sap-releases-security-updates-fixing-five-critical-vulnerabilities/

https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10