Este Security Patch Day incluye 4 Hot News, es decir, novedades relativas a la seguridad con la prioridad más alta posible. Nuevamente vemos como SAP continúa mejorando su respuesta frente a la vulnerabilidad Log4j, actualizando la nota central 3131047 con las nuevas soluciones. En este artículo analizaremos y explicaremos de manera sencilla las últimas notas de seguridad publicadas.
En cuanto al análisis cuantitativo de las notas publicadas en este security patch day, se han liberado un total de 16 notas de seguridad, de las cuales 5 son de prioridad alta, con una puntuación CVSS superior a 7. De las cuales 4 son actualizaciones de notas de seguridad ya publicadas.
A continuación, analizaremos estas 5 notas:
[Update][CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher
Cómo adelantábamos el mes pasado en el SAP security patch day de febrero se trata de una importante vulnerabilidad por la que SAP Netweaver en sus versiones JAVA y ABAP, SAP Content Server y SAP Web Dispatcher pueden ver completamente comprometida su confidencialidad integridad y disponibilidad del sistema.
La nota 3123396 ha sido actualizada con aclaraciones en los textos de prerrequisitos y solución.
Puedes encontrar el análisis completo que hemos realizado sobre esta nota en la siguiente entrada del blog:
Vulnerabilidad en SAP web dispatcher y SAP GW [CVE-2022-22536]
3131047 – [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component
La nota central para recopilar toda la información relativa a la vulnerabilidad Log4j y ver cómo SAP progresa mejorando las soluciones que aporta frente a esta vulnerabilidad ha sido actualizada incluyendo la nota 3154684 que analizamos a continuación.
Previsiblemente, SAP continuará trabajando en mejorar su respuesta a la vulnerabilidad Log4j y en los próximos meses irá actualizando esta nota con sus nuevas soluciones.
3154684 – [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Work Manager
La nota 3154684 incluye la solución frente a la vulnerabilidad Log4j que ocurre en SAP Work Manager.
SAP indica que la mejor solución es actualizar a SAP Work Manager 6.6.1 y/o SAP Inventory Manager 4.4.1 que incluyen las nuevas librerías con la vulnerabilidad Log4j cubierta.
Adicionalmente aporta un workaround, con el que solventar la vulnerabilidad rápidamente, consistente en actualizar los ficheros de la librería log4j y publicar la aplicación desde el SMP cockpit. De todas formas, SAP recomienda actualizar a las últimas versiones de SAP Work Manager y SAP Inventory Manager.
3145987 – [CVE-2022-24396] Missing Authentication check in SAP Focused Run (Simple Diagnostics Agent 1.0)
Vulnerabilidad en el Diagnostic Agent 1.0 (hasta la versión 1.57.*) ya que no se realizan chequeos de autenticación para funcionalidades que pueden ser usadas vía localhost en el puerto 3005.
Debido a esta falta de chequeos de autorización un atacante podría acceder a datos administrativos o funcionalidades con privilegios y leer modificar o borrar información sensible.
La solución consiste en actualizar el diagnostic agent a la versión 1.58.0 o posterior.
3149805 – [CVE-2022-26101] Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad
Importante vulnerabilidad por la que un atacante no autenticado puede realizar un ataque XSS sobre la aplicación SAP Fiori launchpad, pudiendo llegar a comprometer la confidencialidad e integridad de la aplicación.
La solución propuesta por SAP consiste en actualizar el componente SAP_UI a la última versión, aplica para SAP_BASIS 787 y las versiones de SAP_UI 754, 755, 756. Con esta actualización se los parámetros URL son cifrados y previenen los ataques XSS.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
Este mes SAP ha liberado 16 notas de seguridad de las cuales 5 tienen una puntuación CVSS por encima de 9.
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa. Si tienes alguna duda contacta con nosotros o déjala en los comentarios.
Fuentes: