Gama zagrożeń dla środowiska SAP wciąż się powiększa, tym samym eksponując organizacje, niezależnie od rozmiaru i branży, na coraz to bardziej zaawansowane ataki. Zamysłem miesięcznego raportu cyber-zagrożeń jest dostarczenie wglądu w najnowsze podatności i zagrożenia.

 

Kluczowe spostrzeżenia

– To zestawienie not bezpieczeństwa SAP-a składa się z 16 poprawek z czego większość z nich została oceniona na zagrożenie kategorii średniej (medium)
– Błąd Realizacji (Implementation Flaw) jest najczęstszym typem podatności
– Podatność dotycząca SAP Business Client otrzymała w tym roku najwyższy wynik CVSS: 9.8/10

 

Noty bezpieczeństwa SAP – Kwiecień 2018

SAP SE wydał miesięczny update łat krytycznych za miesiąc kwiecień 2018. To uaktualnienie obejmuje 16 Not Bezpieczeństwa SAP (12 SAP Security Patch Day Notes oraz 4 Support Package Notes). Z czego 5 patch-y jest uaktualnieniem do wcześniej wydanych Not Bezpieczeństwa.

4 ze wszystkich 16 notek zostały wydane po drugim wtorku marca i przed drugim wtorkiem kwietnia.

1 nota uzyskała status Hot News, a 4 uzyskały status High priority.

 

Najbardziej powszechnym typem podatności jest Błąd Realizacji (Implementation Flaw)

 

 

Luki krytyczne zamknięte w kwietniu

Poniższe Noty Bezpieczeństwa SAP pomagają w załataniu najgroźniejszych podatności z tego uaktualnienia:

2622660: SAP Business Client zawiera podatność bezpieczeństwa (CVSS Base Score: 9.8). Atakujący może wykorzystać podatność Memory Corruption wstrzykując kastomowo skonstruowany skrypt do pamięci podatnej aplikacji. To może doprowadzić do przejęcia całkowitej kontroli nad aplikacją, brak dostępu do usługi, wykonanie dowolnego polecenia lub inny atak. Ten atak ma negatywny wpływ na procesy biznesowe oraz reputację. Zainstaluj tę notę, aby zapobiec ryzyku.

2587985: SAP Business One zawiera podatność Denial of Service (CVSS Base Score: 7.5 CVE-2017-7668). Atakujący może wykorzystać DOS do wyłączenia z dostępności usługę podatnego komponentu. Zainstaluj tę notę, aby zapobiec ryzyku.

2552318: SAP Visual Composer zawiera podatność Code Injection (CVSS Base Score: 7.4). Aktualizacja nr 1 do Noty Bezpieczeństwa 2376081. W zależności od kodu, atakujący może przeprowadzić różne działania: wprowadzić i wykonać swój własny kod, zmienić lub usunąć dane, zmodyfikować output z systemu, stworzyć konta użytkowników z podwyższonymi uprawnieniami, kontrolować zachowanie systemu lub przeprowadzić atak DOS. Zainstaluj tę notę, aby zapobiec ryzyku.

 

Dzięki narzędziu ERPScan Security Monitoring Suite for SAP możemy w łatwy sposób poradzić sobie z podatnością. Wbudowany moduł analizy niestandardowego kodu ABAP/JAVA pozwoli na wskazanie zagrożeń i podatności w kodzie źródłowym. Pokaże która linia (lub linie) kodu są nieprawidłowe oraz zasugeruje możliwe rozwiązania. Na poniższych slajdach zaprezentowano funkcjonalność:

Listę podatności w kodzie źródłowym: 

 

Nieprawidłową linię kodu:

Aby dowiedzieć się więcej, skorzystać z usługi audytu kodu lub zakupu licencji, zapraszamy do kontaktu pod numerem telefonu 697 071 740 lub mailowo: firma@pbsg.pl
PBSG

Źródła: www.securityweek.com/sap-patches-critical-flaws-business-client
erpscan.com/press-center/blog/sap-cyber-threat-intelligence-report-april-2018/