Para finalizar el año de la manera más segura posible, os traemos la última publicación del SAP security patch day en la que tratamos de divulgar esta información, con el objetivo de dar la importancia que tiene conocer estas vulnerabilidades y que como administradores de los sistemas apliquemos las medidas correctoras necesarias lo antes posible en nuestros clientes.
En cuanto al análisis cuantitativo, en esta nueva publicación del security patch day SAP ha publicado 19 notas, de las cuales 10 son de importancia high, y 5 de ellas han sido clasificadas como hot news.
Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.
A continuación, analizaremos estas 10 notas:
2622660 – [Update] Security updates for the browser control Google Chromium delivered with SAP Business Client
Nueva actualización de la nota 2622660, una nota ya conocida por todos, que recopila las últimas actualizaciones del navegador basado en Chromium integrado en SAP Business Client.
En esta actualización, SAP mantiene al día las versiones de SAP Business Client con las múltiples vulnerabilidades que se parchean en cada nueva versión de Chromium, por lo que es muy recomendable mantener actualizada la versión de SAP Bussines client que estemos utilizando.
En esta ocasión resuelve las vulnerabilidades recogidas en el CVE-2022-41267, como la recogida en la nota 3239475 que trataremos a continuación.
3239475 – [CVE-2022-41267] Server-Side Request Forgery vulnerability in SAP BusinessObjects Business Intelligence Platform
Nueva vulnerabilidad en SAP Business Objects Platform que permite a un atacante con usuario de BI cargar o reemplazar archivos en el servidor de BO. Estos ficheros se guardarán en el sistema operativo, permitiendo al atacante controlar el sistema impactando en la confidencialidad, integridad y disponibilidad de la aplicación.
Para resolver esta vulnerabilidad es necesario actualizar a los SP indicados en la nota 3239475.
3273480 – [CVE-2022-41272] Improper access control in SAP NetWeaver AS Java (User Defined Search)
3267780 – [CVE-2022-41271] Improper access control in SAP NetWeaver AS Java (Messaging System)
Ambas notas recopilan la información sobre la misma vulnerabilidad, pero aplicadas a diferentes productos, por lo que las trataremos a la vez.
Un atacante no autenticado a través de la red puede conectarse a una interfaz abierta expuesta a través de JNDI por el mecanismo User Defined Search (UDS) de SAP NetWeaver AS Java y hacer uso de una API para acceder a servicios que pueden usarse para realizar operaciones no autorizadas que afectan a usuarios y datos en todo el sistema.
Esta vulnerabilidad permite que el atacante tenga acceso de lectura completo a los datos del usuario, realice modificaciones limitadas a los datos del usuario y degrade el rendimiento del sistema, lo que genera un alto impacto en la confidencialidad y un impacto limitado en la disponibilidad e integridad de la aplicación.
Extendiendo la información de esta vulnerabilidad tenemos la nota “3273729 – Impact of CVE-2022-41271 and CVE-2022-41272 on SAP NetWeaver and Process Orchestration” que SAP va a continuar actualizando, por lo que estaremos pendientes de ella.
Los productos afectados son SAP “Process Orchestration” (PO) y “SAP Process Integration“ (PI).
La solución pasa por actualizar al patch indicado en la nota 3273729 para el SP que disponemos, en este momento la información dada por SAP es la siguiente:
SP19 Patch 37 o superior
SP20 Patch 31 o superior
SP21 Patch 30 o superior
SP22 Patch 21 o superior
SP23 Patch 14 o superior
SP24 Patch 13 o superior
SP25 Patch 9 o superior
La solución para los SP17 y SP18 están siendo desarrolladas, y estarán disponibles lo antes posible.
3271523 – Remote Code Execution vulnerability associated with Apache Commons Text in SAP Commerce
SAP Commerce usa una versión open source de “Java library Apache Commons Text” que tiene la vulnerabilidad CVE-2022-42889.
Las versiones afectadas pueden ser vulnerables a la ejecución remota de código o al contacto involuntario con servidores remotos si se utilizan valores de configuración no seguros. Si la explotación tiene éxito, el atacante puede comprometer por completo la confidencialidad, la integridad y la disponibilidad de la aplicación.
Afecta a todas las versiones de SAP Commerce que usan versiones de “Apache Commons Text” de la 1.5 a la 1.9 e interpolación para “StringSubstitutor”.
SAP recomienda actualizar a un patch que resuelve esta vulnerabilidad, estas versiones vienen documentadas en la nota 3271523.
3268172 – [CVE-2022-41264] Code Injection vulnerability in SAP BASIS
Vulnerabilidad en el módulo SAP_BASIS por la que debido al alcance ilimitado del módulo de función RFC, se permite que un atacante autenticado, no administrador, acceda a una clase de sistema y ejecute cualquiera de sus métodos públicos. En una explotación exitosa, el atacante puede tener el control total del sistema al que pertenece la clase, lo que provoca un alto impacto en la integridad de la aplicación.
Podemos solucionar esta vulnerabilidad implementando la nota 3268172 en nuestro sistema BW, que desactiva el código obsoleto e impide que esta vulnerabilidad sea explotada.
Esta solución desactiva el report RSDU_TABLE_CONSITENCY utilizado para comprobar la consistencia de tablas BW. Esta comprobación de consistencia se puede seguir realizando, pero se puede seguir realizando en paralelo.
3271091 – [CVE-2022-41268] Privilege escalation vulnerability in SAP Business Planning and Consolidation
En algunos roles estándar de SAP en “SAP Business Planning and Consolidation”, se utiliza un código de transacción reservado para el cliente. Al implementar dicho código de transacción, un usuario malintencionado puede ejecutar una funcionalidad de transacción no autorizada. En circunstancias específicas, un ataque exitoso podría permitir una escalada de privilegios para poder leer, cambiar o eliminar datos del sistema.
Como solución, SAP nos propone aplicar los SP mencionados en la nota 3271091 en los que se corrige el rol y regenerar el perfil del rol SAP_BPC_ADMIN.
3229132 – [CVE-2022-39013] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Program Objects)
Bajo ciertas condiciones, un atacante puede obtener acceso a las credenciales del sistema operativo. El atacante debe estar autenticado:
- El administrador ve las credenciales en texto no cifrado.
- El usuario normal ve las credenciales en forma cifrada.
Obtener acceso a las credenciales del sistema operativo permite al atacante modificar los datos del sistema y hacer que el sistema no esté disponible, lo que genera un alto impacto en la confidencialidad y un bajo impacto en la integridad y disponibilidad de la aplicación.
SAP propone actualizar al SP indicado en la nota 3229132, aunque también nos indica un workaround que nos permite mitigar la vulnerabilidad mientras planeamos la actualización.
3248255 – [CVE-2022-41266] Cross-Site Scripting (XSS) vulnerability in SAP Commerce
Debido a la falta de una validación de entrada adecuada, “SAP Commerce Webservices 2.0 Swagger UI” permite entradas maliciosas de fuentes no confiables, que un atacante puede aprovechar para ejecutar un ataque “DOM Cross-Site Scripting (XSS)”. Como resultado, un atacante puede robar tokens de usuario y lograr la toma completa de la cuenta, incluido el acceso a las herramientas administrativas en SAP Commerce.
Podemos solucionar esta vulnerabilidad integrando la versión más nueva de la librería open source swagger-ui, en la nota, sap nos indica las versiones de SAP commerce que ya tienen esta vulnerabilidad cubierta. Además, nos proporciona un workaround que podemos aplicar, pero como siempre es recomendable.
3249990 – Multiple Vulnerabilities in SQlite bundled with SAPUI5
Debido a que el framework SAPUI5 utiliza SQLite inferior a la versión 3.39.2, puede permitir un desbordamiento de los límites de la matriz. Esto podría ser explotado por un usuario a través de la red, lo que tendría un impacto considerable en la disponibilidad de las aplicaciones que utilizan SAPUI5.
Esta vulnerabilidad tiene el código CVE-2022-35737.
SAP nos informa que esta vulnerabilidad está corregida en las siguientes versiones de SAP UI5:
- 1.71.51
- 1.84.29
- 1.96.14
- 1.102.8
- 1.105.2
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| CVSS | CVE | Title | Priority | CVSS |
| 2622660 | [CVE-2022-41267] | Security updates for the browser control Google Chromium delivered with SAP Business Client | Hot News | 10.0 |
| 3239475 | Server-Side Request Forgery vulnerability in SAP BusinessObjects Business Intelligence Platform | Hot News | 9.9 | |
| 3273480 | [CVE-2022-41272] | Improper access control in SAP NetWeaver Process Integration (User Defined Search) | Hot News | 9.9 |
| 3271523 | Remote Code Execution vulnerability associated with Apache Commons Text in SAP Commerce Related CVE – CVE-2022-42889 | Hot News | 9.8 | |
| 3267780 | [CVE-2022-41271] | Improper access control in SAP NetWeaver Process Integration (Messaging System) | Hot News | 9.4 |
| 3268172 | [CVE-2022-41264] | Code Injection vulnerability in SAP BASIS | High | 8.8 |
| 3271091 | [CVE-2022-41268] | Privilege escalation vulnerability in SAP Business Planning and Consolidation | High | 8.5 |
| 3229132 | [CVE-2022-39013] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Program Objects) | High | 8.2 |
| 3248255 | [CVE-2022-41266] | Cross-Site Scripting (XSS) vulnerability in SAP Commerce | High | 8.0 |
| 3249990 | Multiple Vulnerabilities in SQlite bundled with SAPUI5 Related CVE – CVE-2022-35737 | High | 7.5 | |
| 3266846 | [CVE-2022-41274] | Missing Authorization Checks in SAP Disclosure Management | Medium | 6.5 |
| 3262544 | [CVE-2022-41262] | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for Java (Http Provider Service) | Medium | 6.1 |
| 3271313 | [CVE-2022-41275] | Open Redirect in SAP Solutions Manager (Enterprise Search) | Medium | 6.1 |
| 2872782 | [CVE-2020-6215] | URL Redirection vulnerability in SAP NetWeaver AS ABAP Business Server Pages Test Application IT00 | Medium | 6.1 |
| 3258950 | [CVE-2020-6215] | URL Redirection vulnerability in SAP NetWeaver AS ABAP (BSP Test Application) | Medium | 6.1 |
| 3265173 | [CVE-2022-41261] | Improper Access Control in SAP Solution Manager (Diagnostic Agent) | Medium | 6.0 |
| 3251202 | [CVE-2022-41215] | URL Redirection vulnerability in SAP NetWeaver ABAP Server and ABAP Platform | Medium | 4.7 |
| 3249648 | [CVE-2022-41263] | Missing authentication check vulnerability in SAP Business Objects Business Intelligence Platform (Web intelligence) | Medium | 4.3 |
| 3270399 | [CVE-2022-41273] | URL Redirection vulnerability in SAP Sourcing and SAP Contract Lifecycle Management | Medium | 4.3 |
Este mes SAP ha liberado 19 notas de seguridad de las cuales 5 tienen una puntuación CVSS por encima de 9.
| MEDIUM | LOW | MEDIUM | HIGH | HOT NEWS | TOTAL |
| Enero | 1 | 5 | 2 | 1 | 9 |
| Febrero | 1 | 6 | 3 | 9 | 19 |
| Marzo | 1 | 10 | 1 | 4 | 16 |
| Abril | 2 | 17 | 7 | 7 | 33 |
| Mayo | 8 | 2 | 4 | 14 | |
| Junio | 2 | 7 | 2 | 1 | 12 |
| Julio | 1 | 20 | 5 | 26 | |
| Agosto | 5 | 1 | 1 | 7 | |
| Septiembre | 6 | 6 | 1 | 13 | |
| Octubre | 9 | 6 | 2 | 17 | |
| Noviembre | 6 | 3 | 3 | 12 | |
| Diciembre | 9 | 5 | 5 | 19 | |
| TOTAL | 8 | 108 | 43 | 38 | 178 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | Mayo | Junio | Julio | Agosto | Septiembre | Octubre | Noviembre | Diciembre | TOTAL | |
| Clickjacking | 1 | 1 | 1 | 3 | |||||||||
| Code Injection | 2 | 1 | 3 | 1 | 2 | 2 | 11 | ||||||
| Cross-Site Scripting | 2 | 2 | 4 | 4 | 3 | 1 | 7 | 4 | 5 | 1 | 2 | 35 | |
| Denial of Service | 1 | 2 | 4 | 2 | 1 | 10 | |||||||
| Improper authentication | 1 | 1 | 2 | 4 | |||||||||
| Improper input validation | 2 | 1 | 1 | 1 | 2 | 5 | 1 | 13 | |||||
| Information Disclosure | 4 | 2 | 4 | 6 | 4 | 1 | 7 | 4 | 2 | 6 | 1 | 1 | 42 |
| Memory corruption | 1 | 1 | 1 | 2 | 5 | ||||||||
| Missing Authorization Check | 1 | 1 | 5 | 1 | 1 | 1 | 6 | 2 | 1 | 2 | 21 | ||
| Missing input Validation | 1 | 1 | 2 | 4 | |||||||||
| Missing XML Validation | 3 | 3 | |||||||||||
| Remote Code Execution | 1 | 7 | 1 | 6 | 4 | 1 | 2 | 1 | 23 | ||||
| Server Side Request Forgery | 2 | 2 | 3 | 7 | |||||||||
| SQL Injection | 1 | 1 | |||||||||||
| Otros | 2 | 6 | 1 | 6 | 1 | 1 | 4 | 3 | 3 | 6 | 33 | ||
| 12 | 19 | 16 | 36 | 14 | 15 | 28 | 7 | 12 | 20 | 16 | 20 | 112 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Artículos anteriores de este mismo año 2022:
NOVIEMBRE 2022 – OCTUBRE 2022 – JUNIO 2022 – MAYO 2022 – ABRIL 2022
