Cambiamos de año y preparamos las propuestas para cumplir, como la de mantener nuestros sistemas seguros y actualizados frente a las nuevas vulnerabilidades. Para colaborar con esta intención, desde Oreka IT continuamos analizando las últimas notas de seguridad liberadas por SAP y traemos este post en el que las resumimos y explicamos de la manera más sencilla posible.
En esta ocasión queremos destacar la nota 3089413, ya que afecta a todas las versiones de SAP_BASIS y de kernel ABAP soportadas por SAP. Además, aplicar la solución propuesta no es tan trivial como nos gustaría.
En cuanto al análisis cuantitativo, en esta nueva publicación del security patch day, SAP ha publicado 12 notas, de las cuales 7 son de importancia high, y en esta ocasión las 7 han sido clasificadas cómo hot news.
Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.
A continuación, analizaremos estas 7 notas:
3275391 – SQL Injection vulnerability in SAP Business Planning and Consolidation MS
Nueva vulnerabilidad documentada en la nota 3275391, que afecta al producto BPC MS 10. En caso de explotar esta vulnerabilidad mediante un ataque de slq injection, se podría conseguir acceso y modificación de los datos en la base de datos. Debido a la gravedad que tiene esta vulnerabilidad, cuenta con una puntuación CVS de 9.9.
La solución que presenta SAP es actualizar a la versión: BPC MS 10.1 SP14 o superiores. Además, SAP nos proporciona la nota 3279017 en la que nos responde a las preguntas más frecuentes que podamos tener entorno a esta vulnerabilidad.
3262810 – Code Injection vulnerability in SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP)
Vulnerabilidad documentada en la nota 3262810, que afecta al producto BusinessObjects Business Intelligence Analysis edition for OLAP, por la que un atacante autenticado podría inyectar código malicioso que puede ser ejecutado por la aplicación. En caso de explotación exitosa el atacante podría comprometer la aplicación, con un impacto alto en la confidencialidad, integridad y disponibilidad de la aplicación. Debido a la gravedad que tiene esta vulnerabilidad, cuenta con una puntuación CVS de 9.9.
SAP nos indica que esta vulnerabilidad esta corregida en las siguientes versiones:
| Software Component | Support Package | Patch Level |
| SBOP BI PLATFORM SERVERS 4.2 | SP009 | 001200 |
| SBOP BI PLATFORM SERVERS 4.3 | SP002 | 000900 |
| SP003 | 000000 | |
| SP004 | 000000 |
Para prevenir esta vulnerabilidad, podemos actualizar a una de las versiones que incluyen la corrección, o seguir el workaround que SAP nos indica en la nota 3262810. Aunque como siempre, es recomendable que apliquemos la actualización correspondiente.
3273480 – [Update] Improper access control in SAP NetWeaver Process Integration (User Defined Search)
3267780 – [Update] Improper access control in SAP NetWeaver Process Integration (Messaging System)
Actualización de las notas 3273480 y 3267780, que ya las hemos tratado en el security patch day de diciembre, debido a que tratan la misma vulnerabilidad en dos productos diferentes, las trataremos a la vez.
Mediante esta vulnerabilidad un atacante no autenticado a través de la red puede conectarse a una interfaz abierta expuesta a través de JNDI de SAP NetWeaver AS Java y hacer uso de una API para acceder a servicios que pueden usarse para realizar operaciones no autorizadas que afectan a usuarios y datos en todo el sistema.
SAP ha actualizado la información de la nota 3273480, actualizando el listado de versiones de SP que la resuelven, incluyendo los nuevos SP017 y SP018 de la release 7.50.
3243924 – [Update] Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad)
Actualización de la nota 3243924, que ya hemos tratado en el pasado Security Patch Day de noviembre.
Como comentábamos en el anterior análisis, en algunos workflows de SAP BusinessObjects BI Platform un atacante autenticado con privilegios bajos puede interceptar un objeto serializado en los parámetros y sustituirlo por uno serializado malicioso, lo que lleva a la deserialización de datos que no son de confianza. Pudiendo comprometer la Confidencialidad, Integridad y Disponibilidad del sistema.
En esta actualización de la nota 3243924, SAP ha actualizado la información del workaround disponible.
3268093 – Improper access control in SAP NetWeaver AS for Java
Vulnerabilidad mediante la cual un atacante no autenticado con el uso de una API abierta podría acceder a servicios y ejecutar operaciones no autorizadas. Pudiendo conseguir acceso a las lecturas y modificaciones en datos de usuario, pudiendo provocar que determinados servicios del sistema no estén disponibles.
La solución propuesta por SAP, cambia el sistema de autorizaciones para los servicios basicadmin y adminadapter. Podemos aplicar esta solución actualizando hasta las versiones indicadas en la nota.
3089413 – Improper access control in SAP NetWeaver AS for Java
Nueva vulnerabilidad documentada en la nota 3089413, en la que descubrimos que Sap Netweaver ABAP Server y ABAP Platform crean un hash de identificación del sistema que no es único, esto genera una vulnerabilidad que podría ser explotada para ganar acceso ilegítimo al sistema.
La solución a esta vulnerabilidad implica:
- Actualización de kernel
- Actualización del SP SAP_BASIS
- Migración de las relaciones de confianza (trusted-trusting relations)
- Sólo se resuelve la vulnerabilidad, si ambos sistemas han sido actualizados
Revisando las versiones de SAP_BASIS y de kernel ABAP afectadas, podemos decir que afecta a todas las versiones con soporte de SAP.
Además, antes de la aplicación de la solución, SAP nos advierte de que debemos contar con un backup del sistema.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Title | Priority | CVSS |
| 3275391 | [CVE-2023-0016] | SQL Injection vulnerability in SAP Business Planning and Consolidation MS | Hot News | 9.9 |
| 3262810 | [CVE-2023-0022] | Code Injection vulnerability in SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP) | Hot News | 9.9 |
| 3273480 | [CVE-2022-41272] | Improper access control in SAP NetWeaver Process Integration (User Defined Search) | Hot News | 9.9 |
| 3243924 | [CVE-2022-41203] | Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad) | Hot News | 9.9 |
| 3267780 | [CVE-2022-41271] | Improper access control in SAP NetWeaver Process Integration (Messaging System) | Hot News | 9.4 |
| 3268093 | [CVE-2023-0017] | Improper access control in SAP NetWeaver AS for Java | Hot News | 9.4 |
| 3089413 | [CVE-2023-0014] | Capture-replay vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform | Hot News | 9.0 |
| 3276120 | [CVE-2023-0012] | Local Privilege Escalation in SAP Host Agent (Windows) | Medium | 6.4 |
| 3283283 | [CVE-2023-0013] | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform | Medium | 6.1 |
| 3266006 | [CVE-2023-0018] | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console) | Medium | 5.4 |
| 3251447 | [CVE-2023-0015] | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence (Web Intelligence) | Medium | 4.6 |
| 3150704 | [CVE-2023-0023] | Information Disclosure in SAP Bank Account Management (Manage Banks) | Medium | 4.5 |
Este mes SAP ha liberado 12 notas de seguridad de las cuales 7 tienen una puntuación CVSS por encima de 9.
| 2023 | LOW | MEDIUM | HIGH | HOT NEWS | TOTAL |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 0 | 5 | 0 | 7 | 12 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | TOTAL | |
| Clickjacking | 0 | |
| Code Injection | 2 | 2 |
| Cross-Site Scripting | 3 | 3 |
| Denial of Service | 0 | |
| Improper authentication | 4 | 4 |
| Improper input validation | 1 | 1 |
| Information Disclosure | 1 | 1 |
| Memory corruption | 0 | |
| Missing Authorization Check | 0 | |
| Missing input Validation | 0 | |
| Missing XML Validation | 0 | |
| Remote Code Execution | 2 | 2 |
| Server Side Request Forgery | 0 | |
| SQL Injection | 1 | 1 |
| Otros | 2 | 2 |
| 16 | 16 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
