Empezamos el segundo trimestre del año con el artículo escrito a partir de la liberación por parte del departamento de seguridad de SAP del SAP Security Patch Day. La intención de estos artículos es intentar dar una visión más cercana de las vulnerabilidades encontradas en el mes y como aplicarlas en los sistemas. Sobre todo, las más críticas, llamadas Hot News.

En cuanto a números, este mes, han liberado 19 notas de seguridad de las cuales 8 son de prioridad alta con una puntuación CVSS por encima de 7. De las 19 notas, 5 son actualizaciones de vulnerabilidades descubiertas en meses anteriores, por lo que habrá que revisar las notas de nuevo para ejecutar las instrucciones en caso de que aplique a nuestros sistemas. De las 8 notas de prioridad alta 5 son encontradas en el último mes y por tanto las más importantes para chequear si afectan o no a nuestros sistemas.

.

A continuación, analizaremos estas 8 notas:

[CVE-2021-27602] Remote Code Execution vulnerability in Source Rules of SAP Commerce

Con un 9.9 de puntuación CVSS, la brecha [CVE-2021-27602] afecta al producto Commerce de SAP en las versiones 1808, 1811, 1905, 2005, 2011 y permite a un atacante con cierta autorización ejecutar código malicioso comprometiendo la confidencialidad, integridad y disponibilidad de la aplicación.

La solución se basa en instalar el último parche en la versión que aplique. Si todavía no se quiere actualizar, también se puede realizar las tareas manuales descritas en la nota 3040210 a modo de workaround.

.

[CVE-2021-21482Information Disclosure in SAP NetWeaver Master Data Management

Si las cuentas administrativas de una instalación del producto MDM (Master Data Management) de SAP no se han securizado acorde con las buenas prácticas en la guía de instalación, un atacante con acceso a la red del servidor puede realizar un ataque de fuerza bruta, y si tiene éxito, podría obtener acceso a datos altamente confidenciales. Esta vulnerabilidad tiene una puntuación CVSS de 9.6.

La solución descrita en la nota 3017908, se basa en actualizar ciertos componentes o realizar los pasos descritos a modo de workaround.

.

[CVE-2021-21483Information Disclosure in SAP Solution Manager

Con una puntuación de 8.3, esta vulnerabilidad que afecta al Solution Manager en su única versión soportada, permite a un atacante con privilegios conseguir información sensible bajo ciertas condiciones.

Como se explica en la nota, la solución pasa por instalar el support package SAPK-72013INSTMAIN del componente ST.

.

[CVE-2021-27608Unquoted Search Path in SAPSetup

Una omisión de comillas en la ruta de SAPSetup, permite una escalada de privilegios en la instalación de uno de sus productos, como puede ser el SAPGUI.

El error se soluciona a partir de la versión 9.0.107.0 del NWSapSetup como se explica en la nota 3039649.

[CVE-2021-21485Information Disclosure in SAP NetWeaver AS for Java (Telnet Commands)

Un atacante sin autorizaciones puede obtener información de un usuario privilegiado gracias al comando Telnet en los sistemas NW JAVA.

Para solucionarlo es necesario actualizar ciertos componentes o realizar las tareas manuales descritas en la nota 3001824.

Además de las 5 vulnerabilidades comentadas, hay otras dos de prioridad alta que explicamos en artículos anteriores y se han liberado actualizaciones de la nota que deberían de ser examinadas en caso de que apliquen a los sistemas de nuestra empresa.

Security updates for the browser control Google Chromium delivered with SAP Business Client – Artículo Enero 2021

.

Missing Authorization Check in SAP NetWeaver AS JAVA (MigrationService) – Artículo Marzo 2021

.

Missing Authorization check in SAP NetWeaver AS ABAP and SAP S4 HANA (SAP Landscape Transformation) – Artículo Diciembre 2020

.

En el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:

En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 62 notas de seguridad de las cuales 15 tienen una puntuación CVSS por encima de 9 y 24 por encima de 7.

LOWMEDIUMHIGHHOT NEWSTOTAL
Enero1101517
Febrero 82313
Marzo 81413
Abril 115319
TOTAL13791562

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente.

EneroFebreroMarzoAbrilTOTAL
Clickjacking 1  1
Code Injection2 1 3
Cross-Site Scripting 1 23
Denial of Service11 13
Improper input validation  10 10
Information Disclosure3  58
Missing Authorization Check436518
Missing input Validation16   16
Remote Code Execution 1 12
Server Side Request Forgery  1 1
SQL Injection11  2
Otros664521
3314221988

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Como siempre, solo queda recomendar pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.

Fuente:

https://wiki.scn.sap.com/

https://cve.mitre.org/