Desde Oreka IT seguimos pendientes de las nuevas notas de seguridad publicadas por SAP y las resumimos y analizamos brevemente en este artículo.
Comenzando con el análisis cuantitativo, en esta ocasión, SAP ha publicado 18 notas, de las cuales 8 son de importancia high y 2 son hot news.
En esta nueva entrega, encontramos que se han revisado varias de las notas anteriormente publicadas para documentar las nuevas versiones que incluyen las correcciones de cada vulnerabilidad.
3341460 – Multiple Vulnerabilities in SAP PowerDesigner
Nota de SAP que resuelve dos vulnerabilidades en SAP Power Designer. La primera, con CVE-2023-37483 es una vulnerabilidad de tipo “improper access control” por la que la aplicación podría permitir a un atacante no autenticado ejecutar consultas arbitrarias contra la BD.
La segunda, es del tipo “information disclosure” en la que por el funcionamiento de la aplicación, el atacante podría acceder a los hashes de las contraseñas desde la memoria del cliente.
Recomendamos aplicar las correcciones indicadas por SAP en la nota 3341460.
3350297 – OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL)
Actualización de la nota 3350297, que ya comentamos en detalle en el security patch day de julio.
SAP ha actualizado la información de la nota para aclarar que solo aplica en los sistemas con el módulo IS-OIL.
3346500 – Improper authentication in SAP Commerce Cloud
Vulnerabilidad que ocurre en algunas configuraciones de SAP Commerce Cloud por la que puede aceptar una contraseña vacía para el ID de usuario, permitiendo a los usuarios iniciar sesión en el sistema sin una contraseña.
Esta vulnerabilidad ya ha sido resuelta en las siguientes versiones:
- SAP Commerce Cloud Patch Release 2105.25
- SAP Commerce Cloud Patch Release 2205.14
- SAP Commerce Cloud Update Release 2211.9
Además, en la nota 3346500 SAP describe un workaround que podemos aplicar para mitigar la vulnerabilidad.
3331376 – Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)
Vulnerabilidad que hemos analizado en el security patch day de julio.
SAP ha actualizado la nota 3331376 añadiendo versiones del componente BI_CONT a las que aplica.
3341599 – Code Injection vulnerability in SAP PowerDesigner
SAP SQLA para PowerDesigner 17 incluido con SAP PowerDesigner 16.7 SP06 PL03, permite a un atacante con acceso local al sistema, usar una librería maliciosa, que puede ser ejecutada por la aplicación. Un atacante podría así controlar el comportamiento de la aplicación.
La nota 3341599 proporciona un workaround con el que podemos mitigar la vulnerabilidad, aunque indica que la solución recomendada es actualizar a “SAP SQLA FOR POWERDESIGNER 17″ SP07 PL01.
3358300 – Cross-Site Scripting (XSS) vulnerability in SAP Business One
Vulnerabilidad Cross-site scripting (XSS) en SAP Business One que permite a un atacante insertar código malicioso en el contenido de una página web o aplicación y conseguir que se entregue al cliente. Pudiendo comprometer la confidencialidad, integridad y disponibilidad de la aplicación.
La corrección a esta vulnerabilidad está incluida en el parche de seguridad FP23051 (Security Hotfix 01).
3317710 – Binary hijack in SAP Business Objects Business Intelligence Suite (installer)
SAP Business Objects Installers permite a un atacante autenticado dentro de la red sobrescribir un archivo ejecutable creado en un directorio temporal durante el proceso de instalación. Al sustituir este ejecutable por un archivo malicioso, un atacante puede comprometer completamente la confidencialidad, integridad y disponibilidad del sistema.
La nota 3317710 indica las versiones de Business Intelligence Suite que incluyen la solución a esta vulnerabilidad.
3312047 – Denial of Service (DoS) vulnerability due to the usage of vulnerable version of Commons FileUpload in SAP BusinessObjects Business Intelligence Platform (CMC)
SAP Business Objects Business Intelligence Platform (CMC) utiliza una versión vulnerable de commons-fileupload que es vulnerable a la Denial of Service recogida en el CVE-2023-24998.
La solución consiste en actualizar commons-fileupload a una versión nueva con la vulnerabilidad resuelta.
3344295 – Improper Authorization check vulnerability in SAP Message Server
Vulnerabilidad por la que lista ACL (Access control list) del servidor de mensajes SAP puede ser eludida en ciertas condiciones, lo que puede permitir a un usuario malicioso autenticado entrar en la red de los sistemas SAP servidos por el servidor de mensajes SAP atacado. Esto puede conducir a la lectura y escritura no autorizada de datos, así como hacer que el sistema no esté disponible.
Para aplicar la solución propuesta por SAP deberemos actualizar el kernel del sistema a la versión indicada en la nota 3344295.
3337797 – SQL Injection vulnerability in SAP Business One (B1i Layer)
El módulo B1i de la aplicación SAP Business One permite a un usuario autenticado con conocimientos profundos, enviar consultas personalizadas a través de la red para leer o modificar los datos SQL. Si se explota con éxito, el atacante puede causar un impacto bajo en la confidencialidad y alto en la integridad y disponibilidad de la aplicación.
SAP ha resuelto esta vulnerabilidad en SAP Business One 10.0 FP2305.
En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | Title | Priority | CVSS |
| 3341460 | Multiple Vulnerabilities in SAP PowerDesigner Additional CVE – CVE-2023-37484 | Hot News | 9.8 |
| 3350297 | Update to Security Note released on July 2023 Patch Day: [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL) | Hot News | 9.1 |
| 3346500 | Improper authentication in SAP Commerce Cloud | High | 8.8 |
| 3331376 | Update to Security Note released on July 2023 Patch Day:[CVE-2023-33989] Directory Traversal vulnerability in SAP NetWeaver(BI CONT ADD ON) | High | 8.7 |
| 3341599 | Code Injection vulnerability in SAP PowerDesigner | High | 7.8 |
| 3358300 | Cross-Site Scripting (XSS) vulnerability in SAP Business One | High | 7.6 |
| 3317710 | Binary hijack in SAP BusinessObjects Business Intelligence Suite (installer) | High | 7.6 |
| 3312047 | Denial of Service (DoS) vulnerability due to the usage of vulnerable version of Commons FileUpload in SAP BusinessObjects Business Intelligence Platform (CMC) | High | 7.5 |
| 3344295 | Improper Authorization check vulnerability in SAP Message Server | High | 7.5 |
| 3337797 | SQL Injection vulnerability in SAP Business One (B1i Layer) | High | 7.1 |
| 2032723 | Update to Security Note released on November 2014 Patch Day: Switchable authorization checks for RFC in SRM | Medium | 6.3 |
| 3350494 | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Process Integration | Medium | 6.1 |
| 3341934 | Information Disclosure vulnerability in SAP Commerce (OCC API) | Medium | 5.9 |
| 2067220 | Information Disclosure in SAP Supplier Relationship Management | Medium | 5.8 |
| 3333616 | Security Misconfiguration vulnerability in SAP Business One (Service Layer) | Medium | 5.3 |
| 3348000 | Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform | Medium | 4.9 |
| 3312586 | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform | Medium | 4.4 |
| 3358328 | Information disclosure vulnerability in SAP Host Agent | Low | 3.7 |
Este mes SAP ha liberado 18 notas de seguridad de las cuales 2 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Agosto | 1 | 7 | 8 | 2 | 18 |
| Julio | 0 | 9 | 7 | 2 | 18 |
| Junio | 1 | 8 | 4 | 0 | 13 |
| Mayo | 3 | 10 | 9 | 2 | 24 |
| Abril | 3 | 15 | 1 | 5 | 24 |
| Marzo | 0 | 10 | 4 | 5 | 19 |
| Febrero | 0 | 20 | 5 | 1 | 26 |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 8 | 84 | 38 | 22 | 154 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | Mayo | Junio | Julio | Agosto | TOTAL | |
| Clickjacking | 0 | ||||||||
| Code Injection | 2 | 1 | 2 | 4 | 1 | 2 | 12 | ||
| Cross-Site Scripting | 3 | 12 | 4 | 1 | 5 | 9 | 2 | 36 | |
| Denial of Service | 2 | 2 | 1 | 1 | 4 | 1 | 11 | ||
| Improper authentication | 4 | 4 | 2 | 3 | 1 | 4 | 18 | ||
| Improper input validation | 1 | 3 | 1 | 2 | 1 | 8 | |||
| Information Disclosure | 1 | 1 | 3 | 3 | 12 | 1 | 5 | 26 | |
| Memory corruption | 2 | 1 | 3 | 6 | |||||
| Missing Authorization Check | 1 | 4 | 5 | 1 | 1 | 3 | 1 | 16 | |
| Missing input Validation | 0 | ||||||||
| Missing XML Validation | 0 | ||||||||
| Remote Code Execution | 2 | 2 | 1 | 5 | |||||
| Server Side Request Forgery | 1 | 1 | |||||||
| SQL Injection | 1 | 1 | 1 | 1 | 4 | ||||
| Otros | 2 | 6 | 3 | 6 | 3 | 2 | 5 | 5 | 32 |
| 16 | 28 | 22 | 27 | 26 | 26 | 26 | 21 | 175 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando que os paséis por el apartado de security notes de SAP ME para analizar las notas liberadas desde la última actualización de los sistemas e instalar las que apliquen a los sistemas de vuestra empresa.
Artículos anteriores de este mismo año 2023:
MARZO 2023 – ABRIL 2023 – MAYO 2023 – JUNIO 2023 – JULIO 2023
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
