Como cada segundo martes de mes, el equipo de seguridad de SAP ha compartido las notas de seguridad que solucionan vulnerabilidades en los sistemas SAP en el ya denominado “SAP Security Patch Day”. Desde Oreka IT os iremos trayendo estos avisos de forma periódica en el #orekaitblog 😉
Este mes hay 15 notas de seguridad de las cuales 8 son de prioridad alta con una puntuación CVSS por encima de 7.
Qué es CVSS
CVSS son las siglas de Common Vulnerability Scoring System, un sistema de puntuación que proporciona un método estándar y abierto para estimar el impacto de una vulnerabilidad y que se compone de tres grupos principales de métricas: «Base», «Temporal» y de «Entorno» (Environmental). Cada uno de estos grupos se compone a su vez de un conjunto de métricas. La organización responsable de este sistema es la organización FIRST (Forum of Incident Response and Security Teams)
Volviendo a SAP, además de la ya muy comentada vulnerabilidad CVE-2020-6287, tratada en el artículo del blog, con la máxima puntuación posible, se suma la siguientes vulnerabilidad con un 9 en la puntuación CVSS:
[CVE-2020-6284] Cross-Site Scripting (XSS) vulnerability in SAP Netweaver (Knowledge Management)
Esta vulnerabilidad que afecta a las versiones de NW 7.30, 7.31, 7.40, 7.50 que utilicen el KM, permite la ejecución automática de scripts dentro de un archivo almacenado pudiendo escalar y obtener privilegios comprometiendo la confidencialidad, integridad y disponibilidad del sistema
El siguiente cuadro muestra todas las notas liberadas durante el mes con los sistemas a los que aplica:
En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 132 notas de seguridad de las cuales 22 tienes una puntuación CVSS por encima de 9 y 28 por encima de 7.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Enero | 1 | 6 | 7 | ||
| Febrero | 11 | 3 | 1 | 15 | |
| Marzo | 1 | 9 | 4 | 4 | 18 |
| Abril | 16 | 5 | 5 | 26 | |
| Mayo | 11 | 5 | 6 | 22 | |
| Junio | 12 | 4 | 2 | 18 | |
| Julio | 1 | 6 | 1 | 2 | 10 |
| Agosto | 8 | 6 | 2 | 16 | |
| TOTAL | 3 | 79 | 28 | 22 | 132 |
El desglose de notas liberadas por desglose de tipos de vulnerabilidades en lo que llevamos de año es
Mención especial a las 27 brechas de tipo Cross-Site Scripting que permite insertar código malicioso en paginas web de confianza. En SAP podemos ver estas páginas, por ejemplo, en todos los sistemas que utilicen el Fiori Launchpad.
Tras estos datos objetivos, solo queda recomendar realizar mensualmente un chequeo de las notas de seguridad liberadas por SAP e instalar la que apliquen a los sistemas de cada empresa.
Fuente: https://www.incibe-cert.es/ · https://wiki.scn.sap.com/
Si tienes preguntas al respecto, puedes dejarlas en el área de comentarios o ponerte en contacto con nuestro departamento de Administración de Sistemas SAP. Puedes consultar el resto de artículos sobre los SAP Security Patch Day en este enlace.
