Volvemos con el articulo mensual escrito a partir de la liberación por parte del departamento de seguridad de SAP del “SAP Security Patch Day”. Quiero recordar que la intención de estos artículos es intentar dar una visión más cercana de las vulnerabilidades encontradas en el mes y cómo aplicarlas en los sistemas. Sobre todo, las más críticas, llamadas Hot News.

Para empezar el año se puede apreciar analizando las notas liberadas que el equipo de seguridad de SAP se ha centrado este mes en los sistemas analíticos, y por tanto, deberíamos de darle relativa importancia en caso que tengamos un BW o un Bussiness Object en nuestro ecosistema SAP.

 Este mes, se han liberado 17 notas de seguridad de las cuales 6 son de prioridad alta con una puntuación CVSS por encima de 7. De las 17 notas liberadas, 7 son actualizaciones de vulnerabilidades descubiertas en meses anteriores, por lo que habrá que revisar la nota de nuevo para ejecutar las instrucciones en caso de que aplique a nuestros sistemas. De las 6 notas de prioridad alta, 3 han sido liberadas en el último mes y por tanto las más importantes para chequear si afectan o no a nuestros sistemas.

La vulnerabilidad más importante y la que tiene un 10 en la puntuación CVSS es una actualización de una nota liberada en el Patch Day de abril de 2018 y tiene que ver con la aplicación Bussiness Client. Esta es una vulnerabilidad recurrente y aplica a las empresas que utilicen Business Client como cliente GUI de SAP. En concreto, aplica al navegador que utiliza internamente el programa y no es otro que Google Chromium. Al ser un navegador de terceros, pero estar dentro del paquete, SAP debe liberar un parche de Business Client cada vez que Google libera parches de seguridad para su navegador.

Otra vulnerabilidad que le sigue de cerca con una puntuación CVSS de 9.9 y encontrada este mes hace referencia al componente SAP_BW donde se han encontrado varias vulnerabilidades que se solventan implementando la nota 2986980. Esta nota aplica a las versiones entre la 7.10 y la 7.82 del componente SAP_BW.

También con una puntuación CVSS de 9.9 y que afecta a los sistemas BW y BW/4HANA, han encontrado la vulnerabilidad CVE-2021-21466 que permite a un usuario con pocos privilegios inyectar código utilizando un módulo de funciones de forma remota pudiendo llegar a adquirir permisos en el sistema operativo y realizar un ataque de denegación de servicios. La solucion a esta vulnerablidad pasa por instalar las correcciones de la nota 2999854.

Con un 9.1 de puntuación se encuentran 2 actualizaciones de notas de seguridad. La primera, la nota 2983367 fue liberada en el Patch day de diciembre de 2020 y comentada en el artículo anterior. La segunda, la nota 2979062, fue liberada en el Patch day de noviembre de 2020 y comentada en el artículo correspondiente del mes.

Además de las 5 vulnerabilidades comentadas, en el siguiente cuadro podéis ver todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:

El equipo de seguridad de SAP comienza el año con 17 notas de seguridad liberadas de las cuales 5 tienes una puntuación CVSS por encima de 9 y 1 por encima de 7.

LOWMEDIUMHIGHHOT NEWSTOTAL
Enero1101517
TOTAL1101517

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente.

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Como siempre, solo queda recomendar pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.

Fuente:

https://wiki.scn.sap.com/

https://cve.mitre.org/