Con precisión alemana, SAP ha publicado desde 2018, el segundo martes de cada mes una entrada en su blog con el security patch day. Ahora para consultar las notas de seguridad publicadas debemos utilizar la aplicación de security notes del launchpad, o acceder a un documento que SAP publica aquí.

Desde Oreka IT seguimos considerando importante continuar con la divulgación de estas actualizaciones ya que entendemos que es la mejor forma de explicar la criticidad de mantener actualizadas las aplicaciones corporativas.

Comenzando con el análisis cuantitativo, desde el último security patch day de junio SAP ha publicado 26 notas de seguridad, de las cuales 4 son de importancia high, este mes no hay ninguna nota de seguridad calificada como Hot new.

Tras revisar las notas publicadas en este security patch day, vemos que las más críticas se enfocan en Sap Business One y se pueden resolver actualizando a la última versión 10.0 FP2202. Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.

A continuación, analizaremos estas 4 notas:

Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console)

Vulnerabilidad en SAP Business Objects CMC que permite a un atacante no autenticado obtener información a través de la red, información que debería estar restringida. Para que esta vulnerabilidad sea posible es necesario que un usuario legítimo acceda a la aplicación y esté localmente comprometido, por ejemplo, mediante la técnica del sniffing o ingeniería social. En caso de conseguirlo el atacante puede comprometer la seguridad de la aplicación.

SAP ha documentado esta vulnerabilidad en la nota 3221288, en la que nos indica que esta vulnerabilidad está solventada desde las versiones 4.2 SP09 Patch 9 y 4.3 SP01. Versiones que SAP ha publicado recientemente.

 Una vez más, cabe remarcar la importancia de mantener actualizadas las aplicaciones y de seguir un plan de mantenimiento que nos permita anticiparnos a estas vulnerabilidades.

[CVE-2022-32249] Information Disclosure vulnerability in SAP Business One

 Vulnerabilidad en SAP Business One cuando este se integra con SAP HANA. Un atacante podría vulnerar la HANA Cockpit data volume para conseguir acceso a información altamente sensible cómo credenciales de cuenta con privilegios.

Según la información publicada en la nota 3212997, existe un workaround parcial que únicamente solventa la vulnerabilidad para el protocolo FTP. SAP insiste en la necesidad de actualizar a la última versión de SAP Business One 10.0 FP2202 que resuelve esta vulnerabilidad. 

[CVE-2022-28771] Missing Authentication check in SAP Business One (License service API)

En la nota 3157613 SAP documenta la información de esta vulnerabilidad por la que un atacante sin autenticar puede enviar peticiones HTTP maliciosas sobre la red y en caso de lograr explotar la vulnerabilidad podría afectar al funcionamiento de la aplicación pudiendo provocar una indisponibilidad de la aplicación.

SAP proporciona el workaround descrito en la nota 3189816, pero insiste en que la solución permanente y recomendada es actualizar a la última versión disponible de SAP Business One 10.0 FP2202.

[CVE-2022-31593] Code Injection vulnerability in SAP Business One

Vulnerabilidad en la que un atacante con pocos privilegios puede realizar una inyección de código que puede ser ejecutado por Sap Business One. Pudiendo llegar a obtener control sobre el funcionamiento de la aplicación.

La vulnerabilidad afecta principalmente al cliente B1, que puede ejecutar otros ficheros ejecutables.

Actualmente los usuarios pueden subir ficheros desde el cliente B1 y ejecutarlos en la aplicación, con la nueva versión SAP Business One 10.0 FP2202 se añade la funcionalidad de aplicar un filtro por tipo de fichero para evitar que se suban ficheros con demasiado riesgo.

Por lo tanto, para disponer de una solución a esta vulnerabilidad es necesario actualizar a la última versión disponible.

En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

 

Note CVE  Description Component  Priority CVSS

3221288

[CVE-2022-35228]

Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console) BI-BIP-CMC 8,3 High
3212997 [CVE-2022-32249] Information Disclosure vulnerability in SAP Business One SBO-CRO-SEC 7,6 High
3157613 [CVE-2022-28771] Authentication check in SAP Business One (License service API) SBO-CRO-SEC 7,5 High
3191012 [CVE-2022-31593] Code Injection vulnerability in SAP Business One SBO-CRO-SEC 7,4 High
3147498 Improper Access Control check in SAP NetWeaver basicadmin and adminadapter services BC-JAS-ADM-ADM 7,4 High
3169239 [CVE-2022-29619] Information Disclosure to user Administrator in SAP BusinessObjects Business Intelligence Platform 4.x BI-BIP-ADM 6,5 Medium
3142092 [CVE-2022-22542] Information Disclosure vulnerability in SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) LO-MD-BP 6,5 Medium
3165801 [CVE-2022-29611] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform BC-ABA-LI 6,5 Medium
2726124 Missing Authorization Check in multiple components under SAP Automotive Solutions IS-A 6,3 Medium
3211760 [CVE-2022-35227] Cross-Site Scripting (XSS) vulnerability in SAP NW EP WPC EP-PIN-WPC 6,1 Medium
3210779 [CVE-2022-35224] Cross-Site Scripting (XSS) vulnerability in SAP Enterprise Portal EP-PIN-GPA 6,1 Medium
3209557 [CVE-2022-32247] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal EP-PIN-TOL 6,1 Medium
3208880 [CVE-2022-35225] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal EP-PIN-PRT 6,1 Medium
3208819 [CVE-2022-35170] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal EP-PIN-AI 6,1 Medium
3207902 [CVE-2022-35172] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal EP-PIN-URL 6,1 Medium
3194361 [CVE-2022-35169] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (LCM) BI-BIP-SRV 6 Medium
3167430 [CVE-2022-31591] Privilege Escalation vulnerability in SAP BusinessObjects (BW Publisher Service) BI-BIP-IK-PAR-SAP 5,6 Medium
3213826 [CVE-2022-31597] Missing Authorization check in SAP S/4HANA(business partner extension for Spain/Slovakia) FI-LOC-FI-ES 5,4 Medium
3213279 [CVE-2022-31598] Cross-Site Scripting (XSS) vulnerability in SAP Business Objects BI-BIP-CMC 5,4 Medium
3203079 [CVE-2022-32246] SQL Injection vulnerability in SAP BusinessObjects Business Intelligence Platform (Visual Difference Application) BI-BIP-VD 5,4 Medium
3150454 Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform BC-MID-RFC 4,9 Medium
3150463 Information Disclosure vulnerability in ABAP Platform BC-MID-RFC 4,9 Medium
3216161 [CVE-2022-32248] Missing Input Validation in Manage Checkbooks component of SAP S/4HANA FI-FIO-AP 4,3 Medium
3211203 [CVE-2022-35168] Denial of Service vulnerability in SAP Business One SBO-CRO-SEC 4,3 Medium
3196280 [CVE-2022-31592] Missing Authorization check in EA-DFPS IS-DFS-MM 4,3 Medium

3220746

[CVE-2022-35171]

Improper Input Validation in SAP 3D Visual Enterprise Viewer CA-VE-VEV 3,3 Low

 

Este mes SAP ha liberado 26 notas de seguridad de las cuales ninguna tiene una puntuación CVSS por encima de 9.

LOW MEDIUM HIGH HOT NEWS TOTAL
Enero 1 5 2 1 9
Febrero 1 6 3 9 19
Marzo 1 10 1 4 16
Abril 2 17 7 7 33
Mayo 8 2 4 14
Junio 2 7 2 1 12
Julio 1 20 5   26
TOTAL 7 53 17 26 103
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

Enero Febrero Marzo Abril Mayo Junio Julio TOTAL
Clickjacking
Code Injection 2 1 3 1 2 9
Cross-Site Scripting 2 2 4 4 3 1 7 23
Denial of Service 1 2 4 2 9
Improper authentication 1 1 2
Improper input validation 2 1 1 1 2 7
Information Disclosure 4 2 4 6 4 1 7 28
Memory corruption 1 1 2
Missing Authorization Check 1 1 5 1 1 1 6 16
Missing input Validation 1 1 2
Missing XML Validation 3 3
Remote Code Execution 1 7 1 6 4 1 20
Server Side Request Forgery 2 2
SQL Injection 1 1
Otros 2 6 1 6 1 16
12 19 16 36 14 15  28 140
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.

Fuentes:

https://wiki.scn.sap.com/

https://launchpad.support.sap.com/#/securitynotes

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

https://cve.mitre.org/

Artículos anteriores de este mismo año 2022:

JUNIO 2022MAYO 2022ABRIL 2022MARZO 2022FEBRERO 2022