Volvemos con el articulo mensual escrito a partir de la liberación por parte del departamento de seguridad de SAP delSAP Security Patch Day. Una vez más, hemos de recordar que la intención de estos artículos es intentar dar una visión más cercana de las vulnerabilidades encontradas en el mes y cómo aplicarlas en los sistemas. Sobre todo, las más críticas, llamadas Hot News.

El segundo mes del año parece ser un poco de trámite ya que no se ha liberado ninguna nota de criticidad alta que afecte a los sistemas convencionales de SAP. No obstante, sí que es conveniente revisar ciertas actualizaciones de notas referentes a meses pasados.

Este mes se han liberado trece notas de seguridad de las cuales cinco son de prioridad alta con una puntuación CVSS por encima de 7. De esas trece notas liberadas, siete son actualizaciones de vulnerabilidades descubiertas en meses anteriores, por lo que habrá que revisar la nota de nuevo para ejecutar las instrucciones en caso de que aplique a nuestros sistemas. De las cinco notas de prioridad alta, sólo una ha sido liberada en el último mes y por tanto la más importantes para chequear si afectan o no a nuestros sistemas.

La vulnerabilidad más importante y la que tiene un 10 en la puntuación CVSS es una actualización de una nota liberada en el Patch Day de abril de 2018 y tiene que ver con la aplicación Business Client.

Otra vulnerabilidad que le sigue de cerca con una puntuación CVSS de 9.9, y encontrada este mes, hace referencia al sistema SAP Commerce donde la brecha encontrada permite a un usuario autenticado editar ciertas reglas que al ejecutarse pueden ejecutar código remoto comprometiendo la confidencialidad, integridad y disponibilidad de estos sistemas. Es importante seguir las directrices de la nota 3014121 para solventar este error. La nota pertenece al componente HY_COM y aplica a las versiones 1808, 1811, 1905, 2005 y 2011.

Las tres notas restantes, con una puntación CVSS mayor que 7, son actualizaciones de versiones anteriores.

[CVE-2021-21465Multiple vulnerabilities in SAP Business Warehouse (Database Interface – Comentada en el articulo Patch Day de Enero de 2021

[CVE-2020-26832Missing Authorization check in SAP NetWeaver AS ABAP and SAP S4 HANA (SAP Landscape Transformation) – Comentada en el articulo Patch Day de Diciembre de 2020

[CVE-2021-21446] Denial of service (DOS) in SAP NetWeaver AS ABAP and ABAP Platform – Comentada en el articulo Patch Day de Enero de 2021

Además de las cinco vulnerabilidades comentadas, en el siguiente cuadro podéis ver todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:

SAP Security Patch Day: Febrero 2021

El equipo de seguridad de SAP comienza el año con diecisiete notas de seguridad liberadas, de las cuales cinco tienen una puntuación CVSS por encima de 9 y una por encima de 7.

LOWMEDIUMHIGHHOT NEWSTOTAL
Enero1101517
TOTAL1101517

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente.

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Como últimamente se está viendo mucha actualización de nota de seguridad anterior, a continuación, podéis ver cómo podemos actualizar las notas sin tener que dedicar mucho tiempo.

Dentro de nuestro sistema SAP vamos a la SNOTE y clicamos sobre el botón de las dos flechas:

Esto nos mostrara una lista de notas instaladas en el sistema con actualización pendiente.

SAP Notes

Clicamos sobre el icono en forma de “V” y nos descargará todas las notas. En este punto no hay opción de descargar solo las que queramos, sino que lo hace de forma masiva.

Una vez descargadas, en el apartado de “News” ya tendremos la nota lista para implementar de nuevo.

Espero que este tip os ayude un poco más en la actualización de notas y, como siempre, solo queda la recomendaros que os paséis por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas, para así instalar la que apliquen a los sistemas de cada empresa.

Fuente:

https://wiki.scn.sap.com/

https://cve.mitre.org/