Kritické zraniteľnosti v produktoch SAP

March 15, 2024

Spoločnosť SAP vydala v marci 2024 balík opráv pre svoje produkty opravujúcich 10 zraniteľností v aplikáciách Business Client, Build Apps, NetWeaver AS Java a ďalších. 2 z nich sú označené ako kritické. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi eskaláciu privilégií.

Zraniteľné systémy:

SAP NetWeaver Administrator AS Java- verzia 7.5
Business Client
Build Apps- všetky verzie pred verziou 4.9.145

Opis činnosti:

CVE-2024-22127 (CVSS skóre 9,1)

Zraniteľnosť CVE-2024-22127 sa nachádza v rozšírení Log Viewer v aplikácii SAP NetWeaver Administrator AS Java. Chyba umožňuje útočníkovi s vysokými privilégiami nahrávať ľubovoľné súbory, a následne injektovať škodlivé príkazy do systému.

CVE-2019-10744 (CVSS skóre 9,1)

Kritická zraniteľnosť CVE-2019-10744 bola objavená v knižnici lodash, ktorá je používaná v aplikácii Build Apps. Úspešné zneužitie umožňuje neoprávnené vykonávanie príkazov.

Spoločnosť SAP opravila celkovo 29 bezpečnostných chýb, z toho 15 dostalo označenie ako vysoko závažné a 2 chyby sú kritické.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Injektovanie škodlivého kódu
Neoprávnené vykonávanie príkazov

Odporúčania:

Bezodkladná aktualizácia aplikácie Build Apps na verziu 4.9.145.

Pre zmiernenie zraniteľnosti CVE-2024-22127 odporúčame pristupovať k NetWeaver Administrator pomocou používateľskej roly ‘NWA_READONLY’ namiesto používateľskej roly ‘Administrators’. Viac informácií o zmiernení zraniteľnosti tu.

Odkazy:

https://nvd.nist.gov/vuln/detail/cve-2019-10744

https://nvd.nist.gov/vuln/detail/CVE-2024-22127

https://www.securityweek.com/sap-patches-critical-command-injection-vulnerabilities/

https://www.cve.org/CVERecord?id=CVE-2024-22127

https://pathlock.com/navigating-sap-security-notes-march-2024-patch-tuesday/