Schwere Sicherheitslücke in SAP Financial Consolidation

Table of Contents

Am 10. Juni 2024 wurde eine kritische Sicherheitslücke in SAP Financial Consolidation unter der Kennung CVE-2024-37177 bekannt. SAP Financial Consolidation ist eine Softwarelösung, die Finanzdaten aus verschiedenen Quellen konsolidiert, um einheitliche Finanzberichte zu erstellen. Die Sicherheitslücke CVE-2024-37177 resultiert aus der Tatsache, dass die Anwendung Daten von unzuverlässigen Quellen akzeptiert und diese über das Netzwerk zugänglich macht. Dies eröffnet Angreifern die Möglichkeit, den Inhalt der Webanwendung zu modifizieren. Die Gefahr dabei ist, dass Angreifer möglicherweise sensible Daten einsehen oder verfälschen können.

Details zur Schwachstelle:

  • Art der Schwachstelle: Improper Neutralization of Input During Web Page Generation, auch bekannt als Cross-Site Scripting (CWE-79).
  • Betroffene Komponente: SAP Financial Consolidation Web-Anwendung.
  • CVSS-Basiswert: 8.1 (hoch).
  • CVSS-Metriken: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N.

Ein Angreifer könnte über diese Schwachstelle sensible Finanzdaten abfangen oder manipulieren, was gravierende Folgen für die betroffenen Unternehmen haben kann. Insbesondere die Fähigkeit, Inhalte ohne Authentifizierung und mit geringer Komplexität zu modifizieren, erhöht das Risiko signifikant.

SAP hat bisher keine spezifischen Sicherheitsupdates oder Patches veröffentlicht. Nutzer von SAP Financial Consolidation sollten regelmäßig die offiziellen Sicherheitsmitteilungen und -hinweise von SAP überprüfen. Es wird empfohlen, die Sicherheitsrichtlinien und -konfigurationen der betroffenen Systeme zu überprüfen und gegebenenfalls zusätzliche Schutzmaßnahmen zu implementieren, um die Auswirkungen dieser Schwachstelle zu minimieren.

Empfohlene Maßnahmen umfassen:

  1. Aktualisierung der Software: Anwender sollten regelmäßig Updates von SAP einspielen und Sicherheitswarnungen beachten.
  2. Eingabefilterung: Eingaben von Benutzern sollten gründlich validiert und gesäubert werden, um das Risiko von Cross-Site Scripting zu reduzieren.
  3. Überwachung und Logging: Implementierung von Überwachungsmechanismen, um ungewöhnliche Aktivitäten frühzeitig zu erkennen.

Related Posts

Cisco Webex Rechenzentrum in Frankfurt - Sicherheitslücke verursachte Regierungs-Datenleck

Im Frühjahr 2024 berichtete das deutsche Nachrichtenportal Zeit Online über Angriffe auf die Webex-Implementierung der deutschen Regierung. Hierbei nutzten Bedrohungsakteure eine Schwachstelle, die als Insecure Direct Object Reference (IDOR) identifiziert wurde, um Zugriff auf interne Meetings zu erhalten. Besondere Brisanz erlangte der Vorfall durch den Zugang zu einem militärischen Meeting, bei dem die Unterstützung für die Ukraine erörtert wurde. Die Sicherheitslücke in Cisco Webex Meetings betraf insbesondere Kunden, deren Daten im Frankfurter Rechenzentrum CISCO Cloud Rechenzentrum gehostet wurden. Die Angreifer konnten so sensible Meeting-Informationen wie Themen, Teilnehmerlisten und Metadaten ausspähen. Besonders kritisch war, dass einige Meetingräume hochrangiger Regierungsbeamter nicht durch Passwörter geschützt waren, was die Angriffe zusätzlich erleichterte.

Read More

PyTorch:Remote Code Execution über Distributed RPC Framework möglich

Eine schwerwiegende Sicherheitslücke im PyTorch Distributed RPC Framework ermöglicht es Angreifern, beliebigen Code auf Master-Nodes auszuführen. Diese Schwachstelle CVE-2024-5480 betrifft insbesondere Szenarien des verteilten Trainings, bei denen das RPC-Framework verwendet wird.

Read More

Sicherheitslücke im Johnson Controls iStar Pro Door Zugriffskontrollsystem entdeckt

Am 6. Juni 2024 hat die Cybersecurity and Infrastructure Security Agency (CISA) eine kritische Sicherheitswarnung für den iStar Pro Door Controller von Johnson Controls veröffentlicht. Unter der Meldung ICSA-24-158-04 wird eine gravierende Schwachstelle dokumentiert, die erhebliche Risiken für den sicheren Betrieb von Zutrittskontrollsystemen darstellt. In diesem Artikel werden die Details dieser Schwachstelle und die empfohlenen Maßnahmen zur Risikominderung erläutert.

Read More