Acabamos el año con el artículo mensual escrito a partir de la liberación por parte del departamento de seguridad de SAP del “SAP Security Patch Day”. Quiero recordar que la intención de estos artículos es intentar dar una visión más cercana de las vulnerabilidades encontradas en el mes y cómo aplicarlas en los sistemas. Sobre todo, las de más críticas, llamadas Hot News.

Este último mes, hay 13 notas de seguridad de las cuales 6 son de prioridad alta con una puntuación CVSS por encima de 7. De las 13 notas liberadas, 2 son actualizaciones de vulnerabilidades descubiertas en meses anteriores. De las 6 notas de prioridad alta 5 han sido liberadas en el último mes y por tanto, las más importantes para chequear si afectan o no a nuestros sistemas

La vulnerabilidad más importante, y la que tiene un 10 en la puntuación, tiene que ver con el componente “P2P Cluster Communication” en los sistemas JAVA. Este componente se encarga del intercambio de mensajes entre los nodos de servidor de un cluster. Pero, por un fallo en la implementación, acepta conexiones de fuera del cluster permitiendo a un atacante no autenticado invocar ciertas funciones que de otro modo estarían restringidas, pudiendo incluso apagar el sistema. De esta manera, el sistema se ve comprometido poniendo en riesgo la integridad y la disponibilidad del servicio.

La solución pasa por instalar el ultimo parche del componente J2EE ENGINE SERVERCORE a para la versión instalada.

Con una puntuación de 9.6 encontramos una vulnerabilidad que afecta a los Crystal Reports dentro de los sistemas Bussiness Objects. En el ultimo análisis, se ha visto que los Crystal Reports no validan lo suficiente los XMLs cargados al sistema y por tanto, un atacante con permisos básicos en el sistema, puede cargar un XML con código maligno pudiendo en el peor de los casos crear una denegación de servicios (Dos).

Como la vulnerabilidad anterior, esta también se soluciona instalando el ultimo parche de SAP Bussiness Object para la versión instalada.

Otra Hot New liberada con una puntuación de 9.1 aplica a los sistemas SAP BW y SAP BW/HANA. Esta vulnerabilidad permite a un usuario autenticado y con altos privilegios, enviar una solicitud que genere y ejecute código sin la interacción del usuario. Estas solicitudes maliciosas podrían ejecutar comandos del sistema operativo que pueden comprometer completamente la confidencialidad, integridad y disponibilidad del servidor, así como cualquier dato u otras aplicaciones que se ejecuten en él.

Para corregir esta vulnerabilidad, es necesario aplicar la nota 2983367 en el sistema.

La ultima Hot New, también con un 9.1 es una actualización de la vulnerabilidad comentada en el articulo del Patch Day de noviembre.

Además de las 6 vulnerabilidades comentadas, podéis ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:

El equipo de seguridad de SAP ha finalizado el año con 197 notas de seguridad liberadas de las cuales 38 tienes una puntuación CVSS por encima de 9 y 42 por encima de 7.

LOWMEDIUMHIGHHOT NEWSTOTAL
Enero16007
Febrero0113115
Marzo194418
Abril0165526
Mayo0115622
Junio0124218
Julio161210
Agosto086216
Septiembre192416
Octubre1117221
Noviembre063615
Diciembre162413
TOTAL61114238197

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente.

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Como siempre, solo queda recomendar pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.

Fuente:

https://wiki.scn.sap.com/

https://cve.mitre.org/