Kritické zraniteľnosti v produkte SAP Business Technology Platform

Spoločnosť SAP vydala v decembri 2023 balík opráv pre svoje produkty opravujúcich 15 zraniteľností v Business Technology Platform, 4 z nich sú označené ako kritické. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi eskaláciu privilégií.

Zraniteľné systémy:

  • SAP Business Technology Platform (BTP) Security Services Integration Libraries verzie staršie ako 3.6.0 (Node.js)
  • SAP Business Technology Platform (BTP) Security Services Integration Libraries verzie staršie ako 2.17.0 a 3.0-3.3(Java)
  • SAP Business Technology Platform (BTP) Security Services Integration Libraries verzie staršie ako 4.1.0 (Python)
  • SAP Business Technology Platform (BTP) Security Services Integration Libraries verzie staršie ako 0.17.0 (Golang)
  • Cloud Application Programming Model (CAP) JAVA V1 verzie staršie ako 1.34.8
  • Cloud Application Programming Model (CAP) JAVA V2 verzie staršie ako 2.4.1
  • SAP Java Buildpack verzie staršie ako 1.81.1
  • SAP Cloud SDK for Java verzie staršie ako 4.28.0 a 5.0.0
  • SAP Cloud SDK for Node.js verzie staršie ako 3.9.0
  • Application Router verzie staršie ako 14.4.3

Opis činnosti:

CVE-2023-49583 (Node.js), CVE-2023-50422 (Java), CVE-2023-50423 (Python), CVE-2023-50424 (Golang)

(CVSS skóre 9,1)

Kritické zraniteľnosti sa nachádzajú v knižniciach BTP Security Sevices Integration Libraries. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi eskaláciu privilégií a získanie prístupu do aplikácie.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Eskalácia privilégií

Odporúčania:

VJ CSIRT odporúča bezodkladnú inštaláciu najnovších bezpečnostných záplat pre SAP Business Technology Platform (BTP) aspoň na verziu 3.6.0 (Node.js), 3.3.0 alebo 2.17.0 (Java), 4.1.0 (Python) a 0.17.0 (Golang).

Podrobné informácie pre mitigáciu nájdete v bezpečnostnej poznámke SAP.

Odkazy:

https://www.securityweek.com/sap-patches-critical-vulnerability-in-business-technology-platform/

https://onapsis.com/blog/sap-patch-day-december-2023

https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/

https://www.cyber.gc.ca/en/alerts-advisories/sap-security-advisory-december-2023-monthly-rollup-av23-756

https://redrays.io/blog/protecting-sap-btp-security-vulnerabilities/

https://nvd.nist.gov/vuln/detail/CVE-2023-50422

https://nvd.nist.gov/vuln/detail/CVE-2023-50423

https://nvd.nist.gov/vuln/detail/CVE-2023-50424