Desde Oreka IT seguimos pendientes de las nuevas notas de seguridad publicadas por SAP y las resumimos y analizamos brevemente en este artículo.

Comenzando con el análisis cuantitativo, en esta ocasión, SAP ha publicado 18 notas, de las cuales 8 son de importancia high y 2 son hot news.

En esta nueva entrega, encontramos que se han revisado varias de las notas anteriormente publicadas para documentar las nuevas versiones que incluyen las correcciones de cada vulnerabilidad.

3341460 – Multiple Vulnerabilities in SAP PowerDesigner

Nota de SAP que resuelve dos vulnerabilidades en SAP Power Designer. La primera, con CVE-2023-37483 es una vulnerabilidad de tipo “improper access control” por la que la aplicación podría permitir a un atacante no autenticado ejecutar consultas arbitrarias contra la BD.

La segunda, es del tipo “information disclosure” en la que por el funcionamiento de la aplicación, el atacante podría acceder a los hashes de las contraseñas desde la memoria del cliente.

Recomendamos aplicar las correcciones indicadas por SAP en la nota 3341460.

3350297 – OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL)

Actualización de la nota 3350297, que ya comentamos en detalle en el security patch day de julio.

SAP ha actualizado la información de la nota para aclarar que solo aplica en los sistemas con el módulo IS-OIL.

3346500 – Improper authentication in SAP Commerce Cloud

Vulnerabilidad que ocurre en algunas configuraciones de SAP Commerce Cloud por la que puede aceptar una contraseña vacía para el ID de usuario, permitiendo a los usuarios iniciar sesión en el sistema sin una contraseña.

Esta vulnerabilidad ya ha sido resuelta en las siguientes versiones:

Además, en la nota 3346500 SAP describe un workaround que podemos aplicar para mitigar la vulnerabilidad.

3331376 – Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)

Vulnerabilidad que hemos analizado en el security patch day de julio.

SAP ha actualizado la nota 3331376 añadiendo versiones del componente BI_CONT a las que aplica.

3341599 – Code Injection vulnerability in SAP PowerDesigner

SAP SQLA para PowerDesigner 17 incluido con SAP PowerDesigner 16.7 SP06 PL03, permite a un atacante con acceso local al sistema, usar una librería maliciosa, que puede ser ejecutada por la aplicación. Un atacante podría así controlar el comportamiento de la aplicación.

La nota 3341599 proporciona un workaround con el que podemos mitigar la vulnerabilidad, aunque indica que la solución recomendada es actualizar a “SAP SQLA FOR POWERDESIGNER 17″ SP07 PL01.

3358300 – Cross-Site Scripting (XSS) vulnerability in SAP Business One

Vulnerabilidad Cross-site scripting (XSS) en SAP Business One que permite a un atacante insertar código malicioso en el contenido de una página web o aplicación y conseguir que se entregue al cliente. Pudiendo comprometer la confidencialidad, integridad y disponibilidad de la aplicación.

La corrección a esta vulnerabilidad está incluida en el parche de seguridad FP23051 (Security Hotfix 01).

3317710 – Binary hijack in SAP Business Objects Business Intelligence Suite (installer)

SAP Business Objects Installers permite a un atacante autenticado dentro de la red sobrescribir un archivo ejecutable creado en un directorio temporal durante el proceso de instalación. Al sustituir este ejecutable por un archivo malicioso, un atacante puede comprometer completamente la confidencialidad, integridad y disponibilidad del sistema.

La nota 3317710 indica las versiones de Business Intelligence Suite que incluyen la solución a esta vulnerabilidad.

3312047 – Denial of Service (DoS) vulnerability due to the usage of vulnerable version of Commons FileUpload in SAP BusinessObjects Business Intelligence Platform (CMC)

SAP Business Objects Business Intelligence Platform (CMC) utiliza una versión vulnerable de commons-fileupload que es vulnerable a la Denial of Service recogida en el CVE-2023-24998.

La solución consiste en actualizar commons-fileupload a una versión nueva con la vulnerabilidad resuelta.

3344295 – Improper Authorization check vulnerability in SAP Message Server

Vulnerabilidad por la que lista ACL (Access control list) del servidor de mensajes SAP puede ser eludida en ciertas condiciones, lo que puede permitir a un usuario malicioso autenticado entrar en la red de los sistemas SAP servidos por el servidor de mensajes SAP atacado. Esto puede conducir a la lectura y escritura no autorizada de datos, así como hacer que el sistema no esté disponible.

Para aplicar la solución propuesta por SAP deberemos actualizar el kernel del sistema a la versión indicada en la nota 3344295.

3337797 – SQL Injection vulnerability in SAP Business One (B1i Layer)

El módulo B1i de la aplicación SAP Business One permite a un usuario autenticado con conocimientos profundos, enviar consultas personalizadas a través de la red para leer o modificar los datos SQL. Si se explota con éxito, el atacante puede causar un impacto bajo en la confidencialidad y alto en la integridad y disponibilidad de la aplicación.

SAP ha resuelto esta vulnerabilidad en SAP Business One 10.0 FP2305.

En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

NoteTitlePriorityCVSS
3341460Multiple Vulnerabilities in SAP PowerDesigner Additional CVE – CVE-2023-37484Hot News9.8
3350297Update to Security Note released on July 2023 Patch Day: [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL)Hot News9.1
3346500Improper authentication in SAP Commerce CloudHigh8.8
3331376Update to Security Note released on July 2023 Patch Day:[CVE-2023-33989] Directory Traversal vulnerability in SAP NetWeaver(BI CONT ADD ON)High8.7
3341599Code Injection vulnerability in SAP PowerDesignerHigh7.8
3358300Cross-Site Scripting (XSS) vulnerability in SAP Business OneHigh7.6
3317710Binary hijack in SAP BusinessObjects Business Intelligence Suite (installer)High7.6
3312047Denial of Service (DoS) vulnerability due to the usage of vulnerable version of Commons FileUpload in SAP BusinessObjects Business Intelligence Platform (CMC)High7.5
3344295Improper Authorization check vulnerability in SAP Message ServerHigh7.5
3337797SQL Injection vulnerability in SAP Business One (B1i Layer)High 7.1
2032723Update to Security Note released on November 2014 Patch Day: Switchable authorization checks for RFC in SRMMedium6.3
3350494Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Process IntegrationMedium6.1
3341934Information Disclosure vulnerability in SAP Commerce (OCC API)Medium5.9
2067220Information Disclosure in SAP Supplier Relationship ManagementMedium5.8
3333616Security Misconfiguration vulnerability in SAP Business One (Service Layer)Medium5.3
3348000Missing Authorization check in SAP NetWeaver AS ABAP and ABAP PlatformMedium4.9
3312586Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence PlatformMedium4.4
3358328Information disclosure vulnerability in SAP Host AgentLow3.7

Este mes SAP ha liberado 18 notas de seguridad de las cuales 2 tienen una puntuación CVSS por encima de 9.

 LOWMEDIUMHIGHHOT NEWSTOTAL
Agosto178218
Julio097218
Junio184013
Mayo3109224
Abril3151524
Marzo0104519
Febrero0205126
Enero050512
TOTAL8843822154

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

EneroFebreroMarzoAbrilMayoJunioJulioAgostoTOTAL
Clickjacking        0
Code Injection2124  1212
Cross-Site Scripting3124159 236
Denial of Service  22114111
Improper authentication44231  418
Improper input validation13 121  8
Information Disclosure1133121 526
Memory corruption  2 1 3 6
Missing Authorization Check 145113116
Missing input Validation        0
Missing XML Validation        0
Remote Code Execution2  2  1 5
Server Side Request Forgery      1 1
SQL Injection1    1114
Otros2636325532
1628222726262621175

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando que os paséis por el apartado de security notes de SAP ME para analizar las notas liberadas desde la última actualización de los sistemas e instalar las que apliquen a los sistemas de vuestra empresa.

Artículos anteriores de este mismo año 2023:

MARZO 2023 – ABRIL 2023  – MAYO 2023 – JUNIO 2023JULIO 2023

Fuentes:

https://wiki.scn.sap.com/

https://launchpad.support.sap.com/#/securitynotes

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

https://cve.mitre.org/