En agosto, el mes con nombre en honor al emperador romano Octavius Augustus, SAP no descansa en su empeño por mantener sus productos seguros y publica un nuevo security patch day que analizaremos y explicaremos de una manera sencilla en este artículo. Puedes ver el resto de artículos relacionados con los anteriores Security Patch Day aquí.

En cuanto a números, se han liberado un total de 14 notas de seguridad, de las cuales 8 son de prioridad alta con una puntuación CVSS por encima de 7. De las 14 notas, sólo 1 actualiza vulnerabilidades descubiertas anteriormente con cambios en las versiones a las que aplica, por lo que hay que revisar si nos aplica para tomar las medidas correctivas recomendadas.

A continuación, analizaremos estas 7 notas:

[CVE-2021-33698] Unrestricted File Upload vulnerability in SAP Business One

Una de las vulnerabilidades más importantes del mes, con un 9.9 en la puntuación CVS, afecta a SAP Business One y previene la posibilidad de que alguien pueda subir cualquier fichero sin pasar por la validación de formato necesaria para cada caso. Este vector de ataque añade muchos riesgos para nuestro sistema ya que incluso se podrían subir scripts maliciosos.

Para resolver esta vulnerabilidad deberemos implementar o actualizar a SAP Business One FP2105 Hotfix1. Además, SAP a documentado los pasos de un workaround temporal para obtener una solución mas inmediata, consistente en no permitir la subida de ficheros. Pero este workaround no es una solución definitiva y siempre se recomienda aplicar la actualización.

[CVE-2021-33690] Server Side Request Forgery vulnerability in SAP NetWeaver Development Infrastructure (Component Build Service)

Otra vulnerabilidad valorada con un 9.9 en la puntuación CVS, afecta a SAP NetWeaver Development Infrastructure (NWDI) en las versiones 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50. Este framework facilita el desarrollo y despliegue de aplicaciones java en los entornos de nuestra infraestructura. La vulnerabilidad indica la posibilidad de que alguien con acceso al servidor pueda ejecutar consultas personalizadas comprometiendo información sensible del sistema e impactar en la disponibilidad.

El impacto de esta vulnerabilidad depende de donde se ejecuta el NWDI, en internet o en la intranet. Para la puntuación CVS se a valorado el peor escenario posible, ejecutar NWDI en internet.

Para solucionarlo deberemos actualizar los Support Packages y Patches indicados en la nota 3072955.

[CVE-2021-33701] SQL Injection vulnerability in SAP NZDT Row Count Reconciliation

La última Hot New del mes, hace referencia a una vulnerabilidad por la que un atacante con acceso a una cuenta con privilegios podría ejecutar una query manipulada en la herramienta NZDT para obtener acceso a la base de datos. Afectando a dos productos SAP: DMIS Mobile Plug-In y a S/4HANA. La solución pasa por aplicar las correcciones automáticas mediante la SNOTE, aunque se documenta un workaround temporal que podemos aplicar.

[CVE-2021-33702] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal

[CVE-2021-33703] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal

Dos nuevos casos de Cross-Site Scripting (XSS), uno relacionado con datos de reporte, ya que en ciertos casos estos datos no son codificados correctamente, y un atacante podría incluir un script en los datos de un reporte que al ser abierto por el navegador de la víctima este se ejecutase. Y otro que afecta a los parámetros de URL, por lo que se podría generar un enlace malicioso y enviarlo a la víctima. Ambos casos afectan a determinadas versiones de SAP NetWeaver Enterprise Portal.

Para solucionar estas vulnerabilidades debemos implementar los Support packages y Patches indicados en las notas 3073681 y 3072920, respectivamente.

[CVE-2021-33705] Server-Side Request Forgery (SSRF) vulnerability in SAP NetWeaver Enterprise Portal

Vulnerabilidad en el editor de lviews en el componente SAP Netweaver Portal por la que se permitiría crear una URL maliciosa que al ser clicada realice cualquier tipo de petición (POST o GET) a cualquier servidor ya sea interno o externo. Resultando en una vulnerabilidad Server Side Request Forgery (SSRF) comprometiendo la seguridad e integridad de los datos disponibles desde el portal, ya el atacante podría acceder y modificar los datos.

[CVE-2021-33699] Task Hijacking in SAP Fiori Client Native Mobile for Android

Vulnerabilidad que afecta a la app SAP Fiori para Android, debido a una configuración incorrecta se podría permitir el acceso a la aplicación móvil del usuario, comprometiendo información sensible de la víctima. Para resolverlo debemos actualizar la aplicación oficial, o en caso de usar una aplicación custom generar una nueva versión con el nuevo SDK y distribuirla. Existiendo un workaround temporal que permite modificar un parámetro de la aplicación para generar una versión sin esta vulnerabilidad.

[CVE-2021-33700] Missing Authentication check in SAP Business One

SAP Business One permitiría a un atacante con acceso al navegador de la víctima, en ciertos casos, hacer login cómo la víctima sin necesidad de conocer su password. Por lo que el atacante podría obtener información sensible para controlar la aplicación vulnerada. La solución pasa por implementar o actualizar a SAP Business One 10.0 PL2105 Hotfix1.

En el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:

En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 122 notas de seguridad de las cuales 25 tienen una puntuación CVSS por encima de 9 y 48 por encima de 7.

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.

Fuentes:

https://wiki.scn.sap.com/

https://cve.mitre.org/