Cómo cada mes, SAP publica el security pach day, publicación en la que resume las últimas novedades relativas a la seguridad de sus productos, que en este artículo analizaremos y explicaremos de manera sencilla.
En cuanto al análisis cuantitativo de las notas publicadas en este security patch day, se han liberado un total de 7 notas de seguridad, de las cuales 3 son de prioridad alta, con una puntuación CVSS superior a 7. De las cuales 2 son actualizaciones de notas de seguridad ya publicada: la nota 3068582 que se actualiza para adjuntar un nuevo manual de implementación de pasos manuales, y la nota 2971638 se actualiza para incluir nuevas indicaciones en la solución propuesta.
A continuación, analizaremos estas 3 notas:
[CVE-2021-40501] Missing Authorization check in ABAP Platform Kernel
El kernel ABAP de SAP no realiza los chequeos de autorización necesarios para un usuario business que esté autenticado, pudiendo resultar en una escalada de privilegios. Esto permitiría al atacante ver o modificar datos en el sistema vulnerable.
Para resolver esta vulnerabilidad podemos actualizar el fichero dw.sar del kernel, o cómo recomienda SAP aplicar un SP Stack Kernel actualizado en nuestro sistema. Por el alto riesgo que implica esta nota tiene una puntuación CVSS de 9.6 y SAP la ha clasificado cómo Hot New.
Esta vulnerabilidad afecta a las siguientes versiones del kernel ABAP: 7.77, 7.81, 7.85, 7.86
[CVE-2021-40502] Missing Authorization check in SAP Commerce
SAP Commerce no realiza los chequeos de autorización necesarios para un usuario autenticado, pudiendo resultar en una escalada de privilegios. Un atacante autenticado podría acceder y editar datos de unidades B2B a las que no pertenece.
Para aplicar la solución a esta vulnerabilidad de debe aplicar el último parche de SAP Commerce y realizar los pasos manuales descritos en la nota 3110328.
Afecta a las versiones 2105.3, 2011.13, 2005.18, 1905.34 de SAP Commerce.
[CVE-2020-6369] [Update] Hard-coded Credentials in CA Introscope Enterprise Manager (Affected products: SAP Solution Manager and SAP Focused
Actualización la nota 2971638 que resuelve una vulnerabilidad de CA Introscope en las versiones 10.5 o 10.7 y anteriores. Que en el caso de que las passwords de admin y guest no hayan sido cambiadas respecto a sus valores por defecto, un usuario autenticado podría saltarse los chequeos de autorización e impactar en la confidencialidad del servicio.
La nota 2971638 ha sido actualizada con nuevas indicaciones para resolver la vulnerabilidad.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 162 notas de seguridad de las cuales 36 tienen una puntuación CVSS por encima de 9 y 64 por encima de 7.
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Fuentes: