Actualizamos nuestro artículo mensual con las últimas notas de seguridad liberadas por SAP, en este post analizamos las últimas notas de seguridad liberadas por SAP y las explicamos de la manera más sencilla posible.
En cuanto al análisis cuantitativo, en esta nueva publicación del Security Patch Day del mes de marzo 2023, SAP ha publicado 19 notas, de las cuales 4 son de importancia high, y en esta ocasión 5 han sido clasificadas como hot news.
Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.
A continuación, analizaremos estas 7 notas:
3245526 – Code Injection vulnerability in SAP Business Objects Business Intelligence Platform
Nueva vulnerabilidad en SAP Business Objects Business Intelligence Platform (CMC) por la que mediante una inyección de código se podría permitir que un atacante obtenga acceso a los recursos permitidos con privilegios adicionales. Un ataque exitoso podría tener un gran impacto en la confidencialidad, la integridad y la disponibilidad del sistema.
Como mitigación inmediata SAP nos presenta el workaround definido en la nota 3245526, aunque la solución recomendada es actualizar hasta los SP documentados en esta misma nota.
3252433 – Improper Access Control in SAP NetWeaver AS for Java
3294595 – Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
Ambas notas 3252433 y 3294595 tratan la vulnerabilidad recogida en el CVE-2023-23857.
Se trata de una nueva vulnerabilidad en SAP NetWeaver AS for Java debido a la falta de verificación de autenticación, el servidor de aplicaciones SAP NetWeaver AS Java permite que un atacante no autenticado se conecte a una interfaz abierta y haga uso de una API abierta de nombres y directorios para acceder a servicios que pueden usarse para realizar operaciones no autorizadas que afectan a usuarios y servicios en todos los sistemas.
En caso de conseguir explotar esta vulnerabilidad, el atacante puede leer y modificar cierta información confidencial, pero también puede usarse para bloquear elementos u operaciones del sistema pudiendo provocar una indisponibilidad.
Podemos resolver esta vulnerabilidad actualizando hasta el nivel de SP indicado en la nota 3252433.
3302162 – Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform (SAPRSBRO Program)
Nueva vulnerabilidad por la que un atacante con autorizaciones no administrativas puede explotar un fallo en el programa SAPRSBRO, pudiendo sobrescribir los archivos del sistema.
En este ataque, no se pueden leer datos, pero se pueden sobrescribir archivos del sistema operativo potencialmente críticos, pudiendo provocar una indisponibilidad del sistema.
La solución requiere actualizar al SP indicado en la nota 3302162. Además, SAP ha documentado información adicional en la nota 3311360.
3283438 – OS command execution vulnerability in SAP Business Objects Business Intelligence Platform (Adaptive Job Server)
Vulnerabilidad que, debido a parámetros escapados incorrectamente en Unix, SAP Business Objects Business Intelligence Platform (Adaptive Job Server) permite que un atacante autenticado ejecute comandos arbitrarios a través de la red.
En caso de explotarse la vulnerabilidad, el atacante puede comprometer completamente la aplicación, causando un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
La solución propuesta por SAP pasa por actualizar al nivel de SP indicado en la nota 3283438, aunque también se describe un workaround que podemos aplicar para mitigar cuanto antes esta vulnerabilidad.
3296476 – Arbitrary Code Execution in SAP Solution Manage and ABAP managed systems (ST-PI)
Vulnerabilidad mediante la cual un atacante autenticado sin permisos de administración y con autorización de ejecución remota puede ejecutar una función de aplicación para realizar acciones que normalmente podría realizar.
Dependiendo de la función ejecutada, el atacante puede leer y modificar cualquier usuario o datos de la aplicación. Además, puede provocar una indisponibilidad de la aplicación pudiendo afectar tanto al solution manager como a los sistemas ABAP administrados.
Para solucionar esta vulnerabilidad debemos implementar la nota 3296476.
3294954 – Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
Nueva vulnerabilidad por la que un atacante puede explotar un fallo en el programa SAPRSBRO, pudiendo sobrescribir los archivos del sistema.
En este ataque, no se pueden leer datos, pero se pueden sobrescribir archivos del sistema operativo potencialmente críticos, pudiendo provocar una indisponibilidad del sistema.
La solución requiere actualizar al SP indicado en la nota 3294954.
3296346 – Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform Additional CVE – CVE-2023-25618
Esta nota SAP trata dos vulnerabilidades:
Server Side Request Forgery (SSRF) CVE-2023-26459
En SAP NetWeaver AS ABAP y la plataforma ABAP, debido a controles de entrada incorrectos, un atacante autenticado como usuario no administrativo puede crear una solicitud que envía una petición a una URL arbitraria pudiendo revelar, modificar o hacer que información no sensible quede indisponible, lo que lleva a un bajo impacto en la Confidencialidad, Integridad y Disponibilidad.
Denial of Service (DoS) CVE-2023-25618
El servidor de aplicaciones SAP NetWeaver ABAP y la plataforma ABAP, tienen varias vulnerabilidades en una clase no utilizada para la gestión de errores en la que un atacante autenticado como usuario no administrativo, puede crear una solicitud con ciertos parámetros que consumirán los recursos del servidor lo suficiente como para que no esté disponible. No hay posibilidad de ver o modificar ninguna información.
Para resolver ambas vulnerabilidades, debemos actualizar hasta el nivel de SP indicado en la nota 3296346.
3275727 – Memory Corruption vulnerability in SAPOSCOL
Vulnerabilidad en SAPOSCOL que permite a un atacante no autenticado con acceso a la red al puerto del servidor asignado al servicio de inicio de SAP, enviar una solicitud manipulada que da como resultado un error de corrupción de memoria.
Este error se puede utilizar para revelar, pero no modificar, ninguna información técnica sobre el servidor. También puede hacer que un servicio en particular no esté disponible temporalmente.
La solución a esta vulnerabilidad consiste en actualizar a la versión e SAP Host Agent indicada en la nota 3275727.
En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Title | Priority | CVSS |
| 3245526 | [CVE-2023-25616] | Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC) | Hot News | 9.9 |
| 3252433 | [CVE-2023-23857] | Improper Access Control in SAP NetWeaver AS for Java | Hot News | 9.9 |
| 3294595 | [CVE-2023-27269] | Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform | Hot News | 9.6 |
| 3302162 | [CVE-2023-27500] | Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform (SAPRSBRO Program) | Hot News | 9.6 |
| 3283438 | [CVE-2023-25617] | OS command execution vulnerability in SAP Business Objects Business Intelligence Platform (Adaptive Job Server) | Hot News | 9.0 |
| 3296476 | [CVE-2023-27893] | Arbitrary Code Execution in SAP Solution Manage and ABAP managed systems (ST-PI) | High | 8.8 |
| 3294954 | [CVE-2023-27501] | Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform | High | 8.7 |
| 3296346 | [CVE-2023-26459] | Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform Additional CVE – CVE-2023-25618 | High | 7.4 |
| 3275727 | [CVE-2023-27498] | Memory Corruption vulnerability in SAPOSCOL | High | 7.2 |
| 3284550 | [CVE-2023-26461] | XXE vulnerability in SAP NetWeaver (SAP Enterprise Portal) | Medium | 6.8 |
| 3289844 | [CVE-2023-25615] | SQL Injection vulnerability in ABAP Platform | Medium | 6.8 |
| 3296328 | [CVE-2023-27270] | Denial of Service (DoS) in SAP NetWeaver AS for ABAP and ABAP Platform | Medium | 6.5 |
| 3287120 | CVE-2023-27271, CVE-2023-27896, CVE-2023-27894] | Multiple vulnerabilities in the SAP BusinessObjects Business Intelligence platform CVEs | Medium | 6.5 |
| 3281484 | [CVE-2023-26457] | Cross-Site Scripting (XSS) vulnerability in SAP Content Server | Medium | 6.1 |
| 3302710 | [CVE-2023-27895] | Information Disclosure vulnerability in SAP Authenticator for Android | Medium | 6.1 |
| 3274920 | [CVE-2023-0021] | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver | Medium | 6.1 |
| 3288480 | [CVE-2023-27268] | Missing Authentication and Authorization check in SAP NetWeaver AS Java (Object Analyzing Service) | Medium | 5.3 |
| 3288096 | [CVE-2023-26460] | Missing Authentication check in SAP NetWeaver AS for Java (Cache Management Service) | Medium | 5.3 |
| 3288394 | [CVE-2023-24526] | Improper Access Control in SAP NetWeaver AS Java (Classload Service) | Medium | 5.3 |
Este mes SAP ha liberado 19 notas de seguridad de las cuales 5 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Marzo | 0 | 10 | 4 | 5 | 19 |
| Febrero | 0 | 20 | 5 | 1 | 26 |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 0 | 35 | 9 | 11 | 57 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | TOTAL | |
| Clickjacking | 0 | |||
| Code Injection | 2 | 1 | 2 | 5 |
| Cross-Site Scripting | 3 | 12 | 4 | 19 |
| Denial of Service | 2 | 2 | ||
| Improper authentication | 4 | 4 | 2 | 10 |
| Improper input validation | 1 | 3 | 4 | |
| Information Disclosure | 1 | 1 | 3 | 5 |
| Memory corruption | 2 | 2 | ||
| Missing Authorization Check | 1 | 4 | 5 | |
| Missing input Validation | 0 | |||
| Missing XML Validation | 0 | |||
| Remote Code Execution | 2 | 2 | ||
| Server Side Request Forgery | 0 | |||
| SQL Injection | 1 | 1 | ||
| Otros | 2 | 6 | 3 | 11 |
| 16 | 28 | 22 | 66 |
La diferencia de notas liberadas y vulnerabilidades, es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP, analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Artículos anteriores de este mismo año 2023:
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
