Kritická zraniteľnosť v produkte SAP Business Client a v produktoch SAP ECC, SAP S/4HANA
Spoločnosť SAP opravila viacero zraniteľností vo svojich produktoch. Medzi najzávažnejšie opravené zraniteľnosti patrí kritická zraniteľnosť v rámci produktu SAP Business Client a kritická zraniteľnosť v produkte SAP ECC, SAP S/4HANA (IS-OIL). Zneužitie zraniteľnosti CVE-2023-33299 môže viesť k injekcii príkazov pre operačný systém, čo môže viesť k narušeniu dostupnosti, integrity a dôvernosti údajov. Celkovo spoločnosť SAP zverejnila 16 bezpečnostných poznámok týkajúcich sa niekoľkých produktov.
Zraniteľné systémy:
SAP NetWeaver ABAP (IS-OIL), SAP ECC, SAP S/4HANA (IS-OIL) verzie 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807
SAP Business Client verzie 6.5, 7.0, 7.70
Opis činnosti:
CVE-2023-36922 (CVSS skóre 9,1)
Kritická zraniteľnosť CVE-2023-36922 je zapríčinená nedostatočnou neutralizáciou špeciálnych znakov použitých v rámci príkazu pre operačný systém (CWE-78). Zneužitie zraniteľnosti umožňuje autentifikovanému útočníkovi vložiť ľubovoľný príkaz operačného systému do nechráneného parametra v rámci rozšírenia aplikácie. Chyba dovoľuje útočníkovi po úspešnom zneužití čítať alebo upravovať systémové údaje, ako aj spôsobiť nedostupnosť systému.
Zraniteľnosti vo webovom prehliadači Chromium (CVSS skóre 10)
Niekoľko verzií SAP Business Client (6.5, 7.0, 7.70) využívajúcich webový prehliadač Chromium pred aktualizáciou na verziu 114.0.5735.134 obsahovalo celkovo 56 zraniteľností rôznej závažnosti, celkovo 2 kritické zraniteľnosti a 35 zraniteľností s vysokou závažnosťou, pričom maximálne dosiahnuté CVSS skóre najzávažnejšej opravenej zraniteľnosti bolo 9,6. SAP zverejnil zoznam daných zraniteľností v rámci Júlového dňa bezpečnostných záplat.
Ostatné kritické zraniteľnosti s vysokou prioritou
Ďalších šesť bezpečnostných poznámok s vysokou prioritou sa týka problémov s tzv. Request Smuggling, Request Concatenation a poškodením pamäte vo Web Dispatcher-i, so zraniteľnosťou typu DoS v SQL Anywhere a tzv. Unauthenticated Blind SSRF a injekcie do hlavičky v rámci produktu Solution Manager (Diagnostický agent).
Zvyšných deväť bezpečnostných poznámok, ktoré spoločnosť SAP vydala tento týždeň, rieši stredne závažné zraniteľnosti v integrácii procesov NetWeaver, S/4HANA, Enable Now, NetWeaver AS Platforma ABAP a ABAP, BusinessObjects, NetWeaver AS for Java, ERP Defense Forces and Public Security, Business Sklad a BW/4HANA.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Injekčný útok prostredníctvom príkazov pre operačný systém
- Nedostupnosť služby (DoS)
Odporúčania:
VJ CSIRT odporúča bezodkladnú inštaláciu najnovších bezpečnostných záplat pre SAP Business Client vo verziách 6.5, 7.0, 7.70, ktorá obsahuje aktualizovanú verziu webového prehliadača Chromium.
VJ CSIRT odporúča bezodkladnú inštaláciu najnovších bezpečnostných záplat pre SAP NetWeaver ABAP (IS-OIL), SAP ECC a SAP S/4HANA (IS-OIL) verzie 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807.
Odkazy:
https://www.securityweek.com/sap-patches-critical-vulnerability-in-ecc-and-s-4hana-products/
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
https://nvd.nist.gov/vuln/detail/CVE-2023-36922