Cambiamos de año y preparamos las propuestas para cumplir, como la de mantener nuestros sistemas seguros y actualizados frente a las nuevas vulnerabilidades. Para colaborar con esta intención, desde Oreka IT continuamos analizando las últimas notas de seguridad liberadas por SAP y traemos este post en el que las resumimos y explicamos de la manera más sencilla posible.

En esta ocasión queremos destacar la nota 3089413, ya que afecta a todas las versiones de SAP_BASIS y de kernel ABAP soportadas por SAP. Además, aplicar la solución propuesta no es tan trivial como nos gustaría.

En cuanto al análisis cuantitativo, en esta nueva publicación del security patch day, SAP ha publicado 12 notas, de las cuales 7 son de importancia high, y en esta ocasión las 7 han sido clasificadas cómo hot news.

Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.

A continuación, analizaremos estas 7 notas:

3275391 – SQL Injection vulnerability in SAP Business Planning and Consolidation MS

Nueva vulnerabilidad documentada en la nota 3275391, que afecta al producto BPC MS 10. En caso de explotar esta vulnerabilidad mediante un ataque de slq injection, se podría conseguir acceso y modificación de los datos en la base de datos. Debido a la gravedad que tiene esta vulnerabilidad, cuenta con una puntuación CVS de 9.9.

La solución que presenta SAP es actualizar a la versión: BPC MS 10.1 SP14 o superiores. Además, SAP nos proporciona la nota 3279017 en la que nos responde a las preguntas más frecuentes que podamos tener entorno a esta vulnerabilidad.

3262810 – Code Injection vulnerability in SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP)

Vulnerabilidad documentada en la nota 3262810, que afecta al producto BusinessObjects Business Intelligence Analysis edition for OLAP, por la que un atacante autenticado podría inyectar código malicioso que puede ser ejecutado por la aplicación. En caso de explotación exitosa el atacante podría comprometer la aplicación, con un impacto alto en la confidencialidad, integridad y disponibilidad de la aplicación. Debido a la gravedad que tiene esta vulnerabilidad, cuenta con una puntuación CVS de 9.9.

SAP nos indica que esta vulnerabilidad esta corregida en las siguientes versiones:

Software ComponentSupport PackagePatch Level
SBOP BI PLATFORM SERVERS 4.2SP009001200
SBOP BI PLATFORM SERVERS 4.3SP002000900
SP003000000
SP004000000

Para prevenir esta vulnerabilidad, podemos actualizar a una de las versiones que incluyen la corrección, o seguir el workaround que SAP nos indica en la nota 3262810. Aunque como siempre, es recomendable que apliquemos la actualización correspondiente.

3273480 – [Update] Improper access control in SAP NetWeaver Process Integration (User Defined Search)

3267780 – [Update]  Improper access control in SAP NetWeaver Process Integration (Messaging System)

Actualización de las notas 3273480 y 3267780, que ya las hemos tratado en el security patch day de diciembre, debido a que tratan la misma vulnerabilidad en dos productos diferentes, las trataremos a la vez.

Mediante esta vulnerabilidad un atacante no autenticado a través de la red puede conectarse a una interfaz abierta expuesta a través de JNDI de SAP NetWeaver AS Java y hacer uso de una API para acceder a servicios que pueden usarse para realizar operaciones no autorizadas que afectan a usuarios y datos en todo el sistema.

SAP ha actualizado la información de la nota 3273480, actualizando el listado de versiones de SP que la resuelven, incluyendo los nuevos SP017 y SP018 de la release 7.50.

3243924 – [Update]   Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad)

 Actualización de la nota 3243924, que ya hemos tratado en el pasado Security Patch Day de noviembre.

Como comentábamos en el anterior análisis, en algunos workflows de SAP BusinessObjects BI Platform un atacante autenticado con privilegios bajos puede interceptar un objeto serializado en los parámetros y sustituirlo por uno serializado malicioso, lo que lleva a la deserialización de datos que no son de confianza. Pudiendo comprometer la Confidencialidad, Integridad y Disponibilidad del sistema.

En esta actualización de la nota 3243924, SAP ha actualizado la información del workaround disponible.

3268093 – Improper access control in SAP NetWeaver AS for Java

Vulnerabilidad mediante la cual un atacante no autenticado con el uso de una API abierta podría acceder a servicios y ejecutar operaciones no autorizadas. Pudiendo conseguir acceso a las lecturas y modificaciones en datos de usuario, pudiendo provocar que determinados servicios del sistema no estén disponibles.

La solución propuesta por SAP, cambia el sistema de autorizaciones para los servicios basicadmin y adminadapter. Podemos aplicar esta solución actualizando hasta las versiones indicadas en la nota.

3089413 – Improper access control in SAP NetWeaver AS for Java

Nueva vulnerabilidad documentada en la nota 3089413, en la que descubrimos que Sap Netweaver ABAP Server y ABAP Platform crean un hash de identificación del sistema que no es único, esto genera una vulnerabilidad que podría ser explotada para ganar acceso ilegítimo al sistema.

La solución a esta vulnerabilidad implica:

  1. Actualización de kernel
  2. Actualización del SP SAP_BASIS
  3. Migración de las relaciones de confianza (trusted-trusting relations)
  4. Sólo se resuelve la vulnerabilidad, si ambos sistemas han sido actualizados

Revisando las versiones de SAP_BASIS y de kernel ABAP afectadas, podemos decir que afecta a todas las versiones con soporte de SAP.

Además, antes de la aplicación de la solución, SAP nos advierte de que debemos contar con un backup del sistema.

En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

NoteCVETitlePriorityCVSS
3275391[CVE-2023-0016]SQL Injection vulnerability in SAP Business Planning and Consolidation MSHot News 9.9
3262810[CVE-2023-0022]Code Injection vulnerability in SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP)Hot News 9.9
3273480[CVE-2022-41272]Improper access control in SAP NetWeaver Process Integration (User Defined Search)Hot News 9.9
3243924[CVE-2022-41203]Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad)Hot News 9.9
3267780[CVE-2022-41271]Improper access control in SAP NetWeaver Process Integration (Messaging System)Hot News 9.4
3268093[CVE-2023-0017]Improper access control in SAP NetWeaver AS for JavaHot News 9.4
3089413[CVE-2023-0014]Capture-replay vulnerability in SAP NetWeaver AS for ABAP and ABAP PlatformHot News 9.0
3276120[CVE-2023-0012]Local Privilege Escalation in SAP Host Agent (Windows)Medium 6.4
3283283[CVE-2023-0013]Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP PlatformMedium 6.1
3266006[CVE-2023-0018]Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console)Medium 5.4
3251447[CVE-2023-0015]Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence (Web Intelligence)Medium 4.6
3150704[CVE-2023-0023]Information Disclosure in SAP Bank Account Management (Manage Banks)Medium 4.5

Este mes SAP ha liberado 12 notas de seguridad de las cuales 7 tienen una puntuación CVSS por encima de 9.

2023LOWMEDIUMHIGHHOT NEWSTOTAL
Enero050512
TOTAL050712

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

EneroTOTAL
Clickjacking 0
Code Injection22
Cross-Site Scripting33
Denial of Service 0
Improper authentication44
Improper input validation11
Information Disclosure11
Memory corruption 0
Missing Authorization Check 0
Missing input Validation 0
Missing XML Validation 0
Remote Code Execution22
Server Side Request Forgery 0
SQL Injection11
Otros22
1616

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.

Fuentes:

https://wiki.scn.sap.com/

https://launchpad.support.sap.com/#/securitynotes

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

https://cve.mitre.org/