Para que los administradores de sistemas tengamos unas navidades lo más tranquilas que sea posible, SAP ha publicado el security pach day de diciembre. Publicación en la que resume las últimas novedades relativas a la seguridad de sus productos, que en este artículo analizaremos y explicaremos de manera sencilla.

En cuanto al análisis cuantitativo de las notas publicadas en este security patch day, se han liberado un total de 15 notas de seguridad, de las cuales 8 son de prioridad alta, con una puntuación CVSS superior a 7. De las cuales 4 son actualizaciones de notas de seguridad ya publicadas.

A continuación, analizaremos estas 8 notas:

[Update] Security updates for the browser control Google Chromium delivered with SAP Business Client

La nota con la puntuación más alta posible, es la 2622660, una nota ya conocida por todos que recopila las últimas actualizaciones del navegador basado en chromium que integra SAP Business Client.

Son múltiples las vulnerabilidades que se parchean en cada nueva versión de chromium, por lo que es muy recomendable mantener actualizada la versión de SAP Bussines client que estemos utilizando.

[CVE-2021-27602] [CVE-2021-27602] Remote Code Execution vulnerability in Source Rules of SAP Commerce

Vulnerabilidad que fue publicada nuevamente en junio de este año y que SAP a incluido en este Security Patch Day, la nota 3040210 reúne información entorno a la vulnerabilidad CVE-2021-27602, por la que la aplicación SAP Commerce Backoffice permitiría a ciertos usuarios con autorizaciones específicas inyectar código malicioso y ejecutarlo, comprometiendo la confidencialidad, integridad y disponibilidad de la aplicación.

En la nota 3040210, nos indican las versiones de SAP Commerce que han sido parcheadas para solventar esta vulnerabilidad, así como un workaround para solventarla lo antes posible.

[CVE-2021-21481] [Update] Missing Authorization Check in SAP NetWeaver AS JAVA

Actualización de la nota 3022422, en la cual se indican las versiones de Netweaver AS JAVA que han sido parcheadas para la vulnerabilidad CVE-2021-21481. Vulnerabilidad por la que el Migration Service incluido en SAP NetWeaver no realiza un chequeo de autorización, pudiendo resultar en que un atacante consiga privilegios de administración y comprometer la confidencialidad, integridad y disponibilidad del sistema.

Deberemos revisar la nota 3022422 y comprobar si podemos actualizar a la versión parcheada, SAP también proporciona un workaround aunque no tiene la fiabilidad de la versión actualizada.

[CVE-2021-21482] Information Disclosure in SAP NetWeaver Master Data Management

Vulnerabilidad en la que un atacante con acceso al servidor MDM podría buscar la password mediante fuerza bruta, en caso de conseguirlo, obtendría acceso a datos sensibles y privilegios de administración.

Esta vulnerabilidad afecta a SAP NetWeaver Data Management en las versiones 710, 710,750.

La solución indicada en la nota 3017908 recomienda aplicar el último parche, y mantener una política de contraseñas seguras especialmente para las cuentas administrativas. Además, recomienda crear otro usuario de administración aparte del estándar en prevención de un posible bloqueo del usuario estándar.

[CVE-2021-21483] Information Disclosure in SAP Solution Manager

Vulnerabilidad por la que bajo ciertas condiciones SAP Solution Manager permite a un atacante con privilegios conseguir acceso a datos sensibles, comprometiendo la confidencialidad de la información.

Esta vulnerabilidad afecta a Solution Manager 7.20, y podemos solventarla siguiendo las indicaciones de la nota 3017823, actualizando a un support package con la vulnerabilidad cubierta o implementando las correcciones contenidas en la nota.

[CVE-2020-26832] Missing Authorization check in SAP NetWeaver AS ABAP and SAP S4 HANA (SAP Landscape Transformation)

Actualización de la nota 2993132, que trata una vulnerabilidad en SAP Landscape transformation, vulnerabilidad que permite a un usuario con privilegios ejecutar RFC cuyo acceso está restringido.

Afecta a las siguientes versiones de SAP NetWeaver AS ABAP: 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020, y de SAP S4 HANA a las versiones: 101, 102, 103, 104, 105.

La solución a esta vulnerabilidad pasa por implementar las correcciones incluidas en la nota 2993132, mediante estas correcciones se refuerza el módulo RFC para aplicar correctamente las restricciones de acceso.

[CVE-2021-27608] Unquoted Search Path in SAPSetup

Para este security patch day SAP ha recuperado la nota 3039649 que se actualizó en abril de este 2021, en la que se resuelve una posible escalada de privilegios en SAP Setup cuando se registra un archivo ejecutable. Pudiendo comprometer la confidencialidad, integridad y disponibilidad del sistema.

Para resolver esta vulnerabilidad debemos actualizar NwSapSetup a la versión 9.0.107.0 o superior.

[CVE-2021-21485] Information Disclosure in SAP NetWeaver AS for Java (Telnet Commands)

Vulnerabilidad por la que un atacante podría provocar que un administrador ejecute comandos telnet para obtener hashes NTLM de un usuario con privilegios. En la nota 3001824 SAP nos indica varios métodos para prevenir esta vulnerabilidad que afecta a múltiples versiones de SAP NetWeaver AS for JAVA.

En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 181 notas de seguridad de las cuales 39 tienen una puntuación CVSS por encima de 9 y 72 por encima de 7.

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.



Fuentes:

https://wiki.scn.sap.com/

https://cve.mitre.org/