Desde Oreka IT continuamos actualizando nuestro artículo mensual con las últimas notas de seguridad liberadas por SAP, en este post analizamos las últimas notas de seguridad liberadas por SAP y las explicamos de la manera más sencilla posible.
En cuanto al análisis cuantitativo, en esta nueva publicación del Security Patch Day, SAP ha publicado 24 notas, de las cuales 1 son de importancia high, y en esta ocasión 5 han sido clasificadas como hot news.
Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.
A continuación, analizaremos estas 6 notas:
3305369 – Multiple vulnerabilities in SAP Diagnostics Agent
La nota 3305369 documenta dos nuevas vulnerabilidades en SAP Diagnostic Agent, en su versión 720.
Vulnerabilidad CVE-2023-27497, debido a la falta de autenticación y a una validación de entrada insuficiente, EventLogServiceCollector permite que un atacante ejecute scripts maliciosos en todos los agentes de diagnóstico conectados que se ejecutan en Windows. En una explotación exitosa, el atacante puede comprometer por completo la confidencialidad, la integridad y la disponibilidad del sistema.
Vulnerabilidad CVE-2023-27267, debido a la falta de autenticación y a una validación de entrada insuficiente, OSCommand Bridge permite que un atacante con un conocimiento profundo del sistema ejecute scripts maliciosos en todos los agentes de diagnóstico conectados, independientemente del sistema operativo usado. En una explotación exitosa, el atacante puede comprometer por completo la confidencialidad, la integridad y la disponibilidad del sistema.
Para resolver estas vulnerabilidades debemos seguir los pasos indicados en la nota 3305369, y actualizar al menos hasta las versiones de software indicadas.
2622660 – Patch Day: Security updates for the browser control Google Chromium delivered with SAP Business Client
Nuevamente, SAP continúa actualizando la nota 2622660, una nota ya conocida por todos que recopila las últimas actualizaciones del navegador basado en chromium integrado en SAP Business Client.
En esta ocasión SAP, mantiene al día las versiones de SAP Business Client con las múltiples vulnerabilidades que se parchean en cada nueva versión de Chromium, por lo que es muy recomendable mantener actualizada la versión de SAP Bussines client que estemos utilizando.
En esta ocasión incluye la nueva versión de SAP Business Client 7.70 PL21 incluye la nueva versión 111 de Chromium.
3273480 – Improper access control in SAP NetWeaver AS Java (User Defined Search)
Actualización de la nota 3273480, que ya las hemos tratado en el Security Patch Day de diciembre.
Mediante esta vulnerabilidad un atacante no autenticado a través de la red puede conectarse a una interfaz abierta expuesta a través de JNDI de SAP NetWeaver AS Java y hacer uso de una API para acceder a servicios que pueden usarse para realizar operaciones no autorizadas que afectan usuarios y datos en todo el sistema.
SAP ha actualizado la información de la nota 3273480, actualizando el listado de versiones de SP que la resuelven, incluyendo el nuevo SP026 de la release 7.50.
3298961 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform
Un atacante con privilegios básicos puede obtener acceso al archivo, cambiar y descifrar el archivo, obteniendo acceso a las contraseñas del usuario de BI y según los privilegios del usuario de BI, puede realizar operaciones que comprometan la aplicación.
Para resolver la vulnerabilidad debemos aplicar la versión de SP indicada en la nota 3298961, además SAP ha documentado un workaround que podemos seguir para mitigar la vulnerabilidad.
3294595 – Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
SAP ha actualizado la nota 3294595, que ya analizamos en el Security Patch Day de marzo con nueva información en el apartado de “Solución”.
Se trata de una nueva vulnerabilidad en SAP NetWeaver AS for Java debido a la falta de verificación de autenticación, el servidor de aplicaciones SAP NetWeaver AS Java permite que un atacante no autenticado se conecte a una interfaz abierta y haga uso de una API abierta de nombres y directorios para acceder a servicios que pueden usarse para realizar operaciones no autorizadas que afectan a usuarios y servicios en todos los sistemas.
En caso de conseguir explotar esta vulnerabilidad, el atacante puede leer y modificar cierta información confidencial, pero también puede usarse para bloquear elementos u operaciones del sistema pudiendo provocar una indisponibilidad.
Podemos resolver esta vulnerabilidad actualizando hasta el nivel de SP indicado en la nota 3252433.
3305907 – Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)
Nueva vulnerabilidad en SAP Netweaver por la cual un atacante puede explotar una vulnerabilidad de Directory Traversal en un informe, para cargar y sobrescribir archivos en el servidor SAP. Los datos no se pueden leer, pero si un atacante remoto tiene suficientes privilegios (administrativos), los archivos del sistema operativo potencialmente críticos se pueden sobrescribir y dejar el sistema indisponible.
Para resolver esta vulnerabilidad podemos implementar la nota 3305907, o aplicar el nivel SP indicado en la misma.
En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Title | Priority | CVSS |
| 3305369 | [CVE-2023-27497] | Multiple vulnerabilities in SAP Diagnostics Agent(OSCommand Bridge and EventLogServiceCollector) Additional CVE – CVE-2023-27267 | Hot News | 10.0 |
| 2622660 | Update to Security Note released on April 2018 Patch Day: Security updates for the browser control Google Chromium delivered with SAP Business Client | Hot News | 10.0 | |
| 3273480 | [CVE-2022-41272] | Improper access control in SAP NetWeaver AS Java (User Defined Search) | Hot News | 9.9 |
| 3298961 | [CVE-2023-28765] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management) | Hot News | 9.8 |
| 3294595 | [CVE-2023-27269] | Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform | Hot News | 9.6 |
| 3305907 | [CVE-2023-29186] | Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON) | High | 8.7 |
| 3312733 | [CVE-2023-26458] | Information Disclosure vulnerability in SAP Landscape Management | Medium | 6.8 |
| 3311624 | [CVE-2023-29187] | DLL Hijacking vulnerability in SapSetup (Software Installation Program) | Medium | 6.7 |
| 3289994 | [CVE-2023-28761] | Missing Authentication check in SAP NetWeaver Enterprise Portal | Medium | 6.5 |
| 3290901 | [CVE-2023-24528] | Missing Authorization Check in SAP Fiori apps for Travel Management in SAP ERP (My Travel Requests) | Medium | 6.5 |
| 3296378 | [CVE-2023-28763] | Denial of Service in SAP NetWeaver AS for ABAP and ABAP Platform | Medium | 6.5 |
| 3275458 | [CVE-2023-27499] | Cross-Site Scripting (XSS) vulnerability in SAP GUIfor HTML | Medium | 6.1 |
| 3309056 | [CVE-2023-27897] | Code Injection vulnerability in SAP CRM | Medium | 6.0 |
| 3269352 | [CVE-2023-29189] | HTTP Verb Tampering vulnerability in SAP CRMWebClient UI | Medium | 5.4 |
| 3000663 | [CVE-2021-33683] | HTTP Request Smuggling in SAP Web Dispatcherand Internet Communication Manager | Medium | 5.4 |
| 3287784 | [CVE-2023-24527] | Improper Access Control in SAP NetWeaver AS Javafor Deploy Service | Medium | 5.3 |
| 3303060 | [CVE-2023-29185] | Denial of Service (DOS) in SAP NetWeaver AS forABAP (Business Server Pages) | Medium | 5.3 |
| 3315312 | [CVE-2023-29108] | IP filter vulnerability in ABAP Platform and SAPWeb Dispatcher | Medium | 5.0 |
| 3316509 | Remote Code Execution vulnerability in SAP CommerceRelated CVE – CVE-2020-13936 | Medium | 4.7 | |
| 3115598 | [CVE-2023-29109] | Code Injection vulnerability in SAP ApplicationInterface Framework (Log Message View of Message Dashboard) | Medium | 4.4 |
| 3301457 | [CVE-2023-1903] | Missing Authorization check in SAP HCM Fiori AppMy Forms (Fiori 2.0) | Medium | 4.3 |
| 3113349 | [CVE-2023-29110] | Code Injection vulnerability in SAP ApplicationInterface Framework (Custom Hint of Message Dashboard) | Low | 3.7 |
| 3114489 | [CVE-2023-29112] | Code Injection vulnerability in SAP ApplicationInterface Framework (Message Monitoring and Message Monitoring forAdministrators Application) | Low | 3.7 |
| 3117978 | [CVE-2023-29111] | Information Disclosure vulnerability in SAPApplication Interface Framework (ODATA service) | Low | 3.1 |
Este mes SAP ha liberado 24 notas de seguridad de las cuales 6 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Abril | 3 | 15 | 1 | 5 | 24 |
| Marzo | 0 | 10 | 4 | 5 | 19 |
| Febrero | 0 | 20 | 5 | 1 | 26 |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 3 | 50 | 10 | 16 | 81 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | TOTAL | |
| Clickjacking | 0 | ||||
| Code Injection | 2 | 1 | 2 | 4 | 5 |
| Cross-Site Scripting | 3 | 12 | 4 | 1 | 19 |
| Denial of Service | 2 | 2 | 2 | ||
| Improper authentication | 4 | 4 | 2 | 3 | 10 |
| Improper input validation | 1 | 3 | 1 | 4 | |
| Information Disclosure | 1 | 1 | 3 | 3 | 5 |
| Memory corruption | 2 | 2 | |||
| Missing Authorization Check | 1 | 4 | 5 | 5 | |
| Missing input Validation | 0 | ||||
| Missing XML Validation | 0 | ||||
| Remote Code Execution | 2 | 2 | 2 | ||
| Server Side Request Forgery | 0 | ||||
| SQL Injection | 1 | 1 | |||
| Otros | 2 | 6 | 3 | 6 | 11 |
| 16 | 28 | 22 | 27 | 66 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Artículos anteriores de este mismo año 2023:
ENERO 2023 – FEBRERO 2023 – MARZO 2023
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
