En julio, mes de vacaciones para muchos, el equipo de seguridad de SAP no descansa y han liberado 15 notas de seguridad. Ha diferencia de otros meses, no podemos decir que se hayan centrado en buscar vulnerabilidades de un tipo concreto, si no que cada nota que trata una vulnerabilidad diferente.

En cuanto a números, se han liberado un total de 15 notas de seguridad, de las cuales 4 son de prioridad alta con una puntuación CVSS por encima de 7. De las 15 notas, sólo 2 son actualizaciones de vulnerabilidades descubiertas anteriormente, por lo que hay que revisar estas notas de nuevo para realizar las acciones correctivas necesarias para cada caso.

A continuación, analizaremos estas 4 notas:

La vulnerabilidad más importante de julio, con un 10 en la puntuación CVS, es la actualización de una nota ya conocida desde agosto de 2018 ya que esta nota contiene las actualizaciones de seguridad del navegador basado en Chromium que integra SAP Business Client. Siendo aplicable a todas las empresas que utilicen Business Client cómo cliente GUI de SAP. Tenemos que recalcar la importancia de aplicar esta actualización, ya que resuelve todas las vulnerabilidades conocidas hasta la fecha que afectan al navegador de Google.

[CVE-2021-27610] Improper Authentication in SAP NetWeaver ABAP Server and ABAP Platform

Es una actualización de una vulnerabilidad ya conocida que afecta a SAP NetWeaver AS ABAP en todas sus versiones. En esta actualización han liberado de nuevo la nota añadiendo el SP Stack Kernel 753 PL801 a la sección de support packages. Cabe recordar la importancia de esta nota, ya que un atacante podría obtener las credenciales de una llamada RFC o HTTP interna, y usarlos para crear su propia llamada desde el exterior consiguiendo además de las credenciales, ser considerada una llamada interna.

[CVE-2021-33671] Missing Authorization check in SAP NetWeaver Guided Procedures

Nueva vulnerabilidad que permite aprovechar que SAP NetWeaver no realiza los chequeos de autorización necesarios para un usuario autenticado, haciendo posible una escalada de privilegios. Esto podría permitir que un usuario autenticado en nuestro sistema acceda a funcionalidades o datos restringidos, a los que no está autorizado, pudiendo leer, modificar o borrar datos restringidos.

Esta vulnerabilidad afecta a SAP NetWeaver Guided Procedures en las versiones 7.10, 7.20, 7.30, 7.31, 7.40, 7.50.

La solución propuesta por SAP pasa por actualizar a los Support Packages o Parches indicados en la nota. De manera alternativa también proponen un workaround con el que resolver la vulnerabilidad de manera más inmediata, aunque SAP insiste en aplicar la actualización necesaria para resolver de manera permanente esta vulnerabilidad.

[CVE-2021-33670] Denial of Service (DoS) in SAP NetWeaver AS for Java (Http Service)

Esta vulnerabilidad puede afectar a la disponibilidad de SAP NetWeaver Java, que podría llegar a quedar indisponible para los usuarios. No pone en riesgo la confidencialidad de los datos, pero si la disponibilidad del sistema.

Afecta a las versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 de SAP NetWeaver AS for Java (Servicio Http). La nota liberada por SAP indica actualizar el SP o versión donde se resuelve el problema.

En el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:

En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 154 notas de seguridad de las cuales 22 tienen una puntuación CVSS por encima de 9 y 40 por encima de 7.

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Como siempre, solo queda recomendar pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.

Fuentes:

https://wiki.scn.sap.com/

https://cve.mitre.org/