Kritické zraniteľnosti v produktoch SAP

Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú 17 zraniteľností, z toho 2 sú označené ako kritické. Kritické zraniteľnosti sa nachádzajú v produktoch SAP BusinessObjects Business Intelligence Platform a SAP Build Apps a možno ich zneužiť na realizáciu SSRF útokov a získanie neoprávneného prístupu do systému.

Zraniteľné systémy:

  • SAP Build Apps
  • SAP BusinessObjects Business Intelligence Platform
  • SAP BEx Web Java Runtime Export Web Service
  • SAP CRM ABAP
  • SAP Commerce, Commerce Backoffice, Commerce Cloud
  • SAP Content Server
  • SAP Document Builder
  • SAP NetWeaver Application Server ABAP
  • SAP Permit to Work
  • SAP Replication Server
  • SAP S/4 HANA
  • SAP Shared Service Framework
  • SAP Student Life Cycle Management (SLcM)
  • SAP Web Dispatcher

Pozn. presné verzie zraniteľných produktov nájdete na stránke výrobcu.

Opis zraniteľnosti:

SAP BusinessObjects Business Intelligence Platform:

CVE-2024-41730 (CVSS skóre 9.8)

CVE-2024-41730 spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorenej požiadavky na REST rozhranie mohol zneužiť na získanie neoprávneného prístupu a úplnej kontroly nad systémom. Zraniteľnosť je možné zneužiť len na inštanciách so zapnutou funkciou SSO (Single Sign-On).

Zraniteľnosť CVE-2024-41730 ovplyvňuje verzie produktov ENTERPRISE 430, 440.

SAP Build Apps:

CVE-2024-29415 (CVSS skóre 9.1)

Zraniteľnosť s označením CVE-2024-29415 sa nachádza v externom komponente Node.js a spočíva v nesprávnom rozlišovaní verejných a privátnych IP adries. Vzdialený útočník by ju prostredníctvom zaslania špeciálne vytvorenej požiadavky mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov.

Zraniteľnosť CVE-2024-29415 ovplyvňuje verzie produktov staršie akoSAP Build Apps, Versions ako 4.11.130.

Ostatné produkty:

Zraniteľnosti v ostatných produktoch možno zneužiť na vykonanie škodlivého kódu, realizáciu XSS (Cross Site Scripting) a SSRF (Server Side Request Forgery) útokov, XML injekciu, eskaláciu privilégií, zneprístupnenie služby, získanie neoprávneného prístupu k citlivým údajom a obídenie mechanizmov autentifikácie.

Možné škody:

  • Vykonanie škodlivého kódu
  • Eskalácia privilégií
  • Neoprávnený prístup do systému
  • Získanie úplnej kontroly nad systémom
  • Zneprístupnenie služby
  • Neoprávnený prístup k citlivým údajom

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na najnovšiu možnú verziu.

Zdroje:

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html

https://www.cve.org/CVERecord?id=CVE-2024-41730

https://exchange.xforce.ibmcloud.com/vulnerabilities/350914

https://www.cve.org/CVERecord?id=CVE-2024-29415

https://exchange.xforce.ibmcloud.com/vulnerabilities/292577