Beveiligingsadvies NCSC-2024-0378 [1.00] [M/H] Kwetsbaarheden verholpen in SAP producten

Kwetsbaarheden in SAP-producten Verholpen

Het Nationaal Cyber Security Centrum (NCSC) heeft bekendgemaakt dat verschillende kwetsbaarheden in SAP-producten zijn verholpen. Deze aankondiging omvat details over de verholpen beveiligingsproblemen en biedt links voor verdere informatie.

SAP-producten met verholpen kwetsbaarheden:

  • SAP Business Warehouse
  • SAP NetWeaver
  • SAP HANA
  • SAP Business Objects
  • SAP Commerce

Significante beveiligingsissues:
De kwetsbaarheden in deze SAP-producten bevatten onder andere de volgende categorieën:

  • Cross-Site Scripting (XSS): Een kwaadaardige aanvaller kan via deze kwetsbaarheid schadelijke scripts injecteren in webpagina’s die door andere gebruikers worden geopend.
  • Omzeilen van authenticatie: Dit houdt in dat een aanvaller in staat is om beveiligingsmaatregelen te omzeilen en ongeoorloofde toegang te krijgen.
  • Uitvoering van willekeurige code met gebruikersrechten: Aanvallers kunnen code uitvoeren op het getroffen systeem met dezelfde rechten als de gebruiker die de software draait.
  • Toegang tot gevoelige gegevens: Ongeautoriseerde actoren kunnen toegang verkrijgen tot vertrouwelijke data.

Gedetailleerde lijst met kwetsbaarheden:

  • Blootstelling van privé (persoonlijke) informatie aan een ongeautoriseerde acteur.
  • Ontbrekende cryptografische stappen.
  • Blootstelling van gevoelige informatie door incompatibele beleidspunten.
  • Onjuiste neutralisatie van invoer tijdens webpagina-generatie (Cross-site Scripting).
  • Onjuiste autorisatie.
  • Opslag van wachtwoorden in platte tekst.
  • Onbetrouwbare zoekpaden.
  • Ontbrekende autorisatie.

Impact en risico’s:

  • Kans: Medium
  • Schade: Hoog

Producten en versies die zijn beïnvloed:
De kwetsbaarheden hebben impact op een breed scala aan SAP producten en hun respectieve versies, waaronder versies van SAP NetWeaver- en SAP Business Warehouse-platforms. Gedetailleerde informatie over specifieke versies die getroffen zijn, is beschikbaar in de advisory.

Oplossingen:
SAP heeft updates uitgebracht om de bovengenoemde kwetsbaarheden te verhelpen. Gebruikers wordt geadviseerd om de nieuwste patches en updates te installeren om hun systemen te beschermen.

Referenties voor meer informatie:

  • SAP Security Notes
  • Verschillende downloadbare formaten van de advisory zijn beschikbaar, waaronder PGP-signed, CSAF, en PDF.

Specifieke CVE’s die zijn verholpen:

Vrijwaring:
Door het gebruik van dit beveiligingsadvies stemt u in met de volgende voorwaarden. Het NCSC kan niet aansprakelijk worden gesteld voor de volledigheid, juistheid of (voortdurende) actualiteit van dit advies. De verstrekte informatie is uitsluitend bedoeld als algemene informatie voor professionele partijen en er kunnen geen rechten aan worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade als gevolg van het gebruik of de onmogelijkheid van het gebruik van dit advies. Op dit beveiligingsadvies is het Nederlands recht van toepassing, en eventuele geschillen zullen worden voorgelegd aan de bevoegde rechter te Den Haag.

Voor meer details en volledige advisories kunt u de volgende links bekijken:

Bij twijfel of voor specifieke vragen wordt aanbevolen om contact op te nemen met SAP-ondersteuning of uw IT-beveiligingsexpert.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----