Continuando con nuestro empeño en divulgar las últimas actualizaciones de seguridad SAP disponibles, traemos un nuevo post con el resumen del Security Patch Day de febrero, en este post analizamos las últimas notas de seguridad liberadas por SAP y las explicamos de la manera más sencilla posible.
Nuevamente la nota destacada por SAP es la 2622660 ya que es la única Hot New de febrero. Siendo esta una antigua conocida del blog ya que es la nota que contiene las últimas actualizaciones de Chromium para SAP Business Client. Pero nosotros queremos destacar la nota 3285757 porque aplica al servicio SAP Host Agent, un servicio presente en casi todos los sistemas SAP, y que en caso de ser explotada puede tener implicaciones importantes.
En cuanto al análisis cuantitativo, en esta nueva publicación del security patch day, SAP ha publicado 26 notas, de las cuales 6 son de importancia high, y en esta ocasión sólo una ha sido clasificada cómo hot news.
Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.
A continuación, analizaremos estas 7 notas:
2622660 – [Update] Security updates for the browser control Google Chromium delivered with SAP Business Client
SAP continúa actualizando la nota 2622660, una nota ya conocida por todos que recopila las últimas actualizaciones del navegador basado en chromium integrado en SAP Business Client.
En esta ocasión SAP, mantiene al día las versiones de SAP Business Client con las múltiples vulnerabilidades que se parchean en cada nueva versión de chromium, por lo que es muy recomendable mantener actualizada la versión de SAP Bussines client que estemos utilizando.
En esta ocasión la nueva versión de SAP Business Client 7.70 PL20 incluye la nueva versión 109 de Chromium.
3285757 – [CVE-2023-24523] Privilege Escalation vulnerability in SAP Start Service
Un atacante autenticado como usuario no administrador con acceso local a un puerto del servidor asignado al Servicio del SAP Host Agent, puede enviar una solicitud de servicio web con un comando del sistema operativo que se ejecutará con privilegios de administrador. El comando del sistema operativo puede leer o modificar cualquier usuario o datos del sistema y puede provocar la indisponibilidad del sistema.
La solución a esta vulnerabilidad pasa por actualizar SAP Host Agent a la última versión liberada.
3268172 – [CVE-2022-41264] Update to Security Note released on December 2022 Patch Day: Code Injection vulnerability in SAP BASIS
Debido al alcance ilimitado del módulo de función RFC, SAP BASIS permite que un atacante no administrador autenticado acceda a una clase de sistema y ejecute cualquiera de sus métodos públicos con parámetros proporcionados por el atacante. En caso de una explotación exitosa, el atacante puede tener el control total del sistema, lo que provoca un alto impacto en la integridad de la aplicación.
Para resolver esta vulnerabilidad, debemos implementar la nota 3268172, esta nota desactiva el código obsoleto que permite esta vulnerabilidad. El código que se desactiva únicamente será usado por un report de BW en HANA. SAP remarca que aunque no dispongamos de BD HANA debemos comprobar si la nota nos aplica, e implementarla siempre que sea posible.
3263135 – -[CVE-2023-0020] Information disclosure vulnerability in SAP BusinessObjects Business Intelligence platform
Vulnerabilidad por la que la plataforma SAP BusinessObjects Business Intelligence permite que un atacante autenticado acceda a información confidencial que, de otro modo, estaría restringida. En una explotación exitosa, podría darse un alto impacto en la confidencialidad y un impacto limitado en la integridad de la aplicación.
Para solucionar esta vulnerabilidad debemos actualizar al menos hasta los SP indicados en la nota 3263135.
3271091 – [CVE-2022-41268] Update to Security Note released on December 2022 Patch Day: Privilege escalation vulnerability in SAP Business Planning and Consolidation
En algunos roles estándar de SAP en SAP Business Planning and Consolidation, se utiliza un código de transacción reservado para el cliente. Al implementar dicho código de transacción, un usuario malintencionado puede ejecutar una funcionalidad de transacción no autorizada. En circunstancias específicas, un ataque exitoso podría permitir que el atacante aumente sus privilegios para poder leer, cambiar o eliminar datos del sistema.
Para resolver esta vulnerabilidad, debemos seguir los pasos manuales especificados en la nota 3271091, o aplicar una actualización al menos hasta el nivel de SP indicado en la misma nota.
3256787 – [CVE-2023-24530] Unrestricted Upload of File in SAP BusinessObjects Business Intelligence Platform (CMC)
SAP BusinessObjects Business Intelligence Platform (CMC) permite que un usuario administrador autenticado cargue código malicioso que la aplicación puede ejecutar a través de la red. En caso de explotar con éxito la vulnerabilidad, el atacante puede realizar operaciones que pueden comprometer completamente la aplicación causando un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
Para resolver esta vulnerabilidad debemos actualizar al menos hasta el nivel de SP indicado en la nota 3256787, aunque para disponer de una solución más inmediata también podemos seguir los pasos del workaround indicado en la misma nota.
En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
Este mes SAP ha liberado 12 notas de seguridad de las cuales 7 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Febrero | 0 | 20 | 5 | 1 | 26 |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 0 | 25 | 5 | 6 | 38 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | TOTAL | |
| Clickjacking | 0 | ||
| Code Injection | 2 | 1 | 3 |
| Cross-Site Scripting | 3 | 12 | 15 |
| Denial of Service | 0 | ||
| Improper authentication | 4 | 4 | 8 |
| Improper input validation | 1 | 3 | 4 |
| Information Disclosure | 1 | 1 | 2 |
| Memory corruption | 0 | ||
| Missing Authorization Check | 1 | 1 | |
| Missing input Validation | 0 | ||
| Missing XML Validation | 0 | ||
| Remote Code Execution | 2 | 2 | |
| Server Side Request Forgery | 0 | ||
| SQL Injection | 1 | 1 | |
| Otros | 2 | 6 | 8 |
| 16 | 28 | 44 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Artículos anteriores de este mismo año 2023:
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
