Llegando al apogeo del verano, desde SAP siguen revisando su software y aplicando importantes correcciones de seguridad que vamos a explicar en este Security Patch Day de julio.
Comenzando con el análisis cuantitativo, en esta ocasión, SAP ha publicado 18 notas, de las cuales 7 son de importancia high, 2 son hot news.
En esta ocasión podemos ver el esfuerzo de SAP en revisar su kernel y hacerlo cada vez más seguro, ya que en este artículo encontraremos que varias de las notas de seguridad liberadas resuelven diferentes vulnerabilidades del kernel de SAP.
2622660 – [Update] Security updates for the browser control Google Chromium delivered with SAP Business Client
Como es habitual, SAP continúa actualizando la nota 2622660, una nota ya conocida por todos que recopila las últimas actualizaciones del navegador basado en Chromium integrado en SAP Business Client.
En esta actualización, SAP mantiene al día las versiones de SAP Business Client con las múltiples vulnerabilidades que se parchean en cada nueva versión de Chromium, por lo que es muy recomendable mantener actualizada la versión de SAP Bussines Client que estemos utilizando.
En esta ocasión incluye la nueva versión de SAP Business Client 7.70 PL24 y PL23 incluye la nueva versión 114 de Chromium.
3350297 – [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL)
Nueva vulnerabilidad resuelta en SAP ECC y S/4 HANA para el módulo IS-OIL. Por la que debido a un error de programación en el módulo de funciones e informe, el componente IS-OIL permite que un atacante autenticado inyecte un comando arbitrario del sistema. En una explotación exitosa, el atacante puede leer o modificar los datos del sistema, así como afectar a la disponibilidad del sistema.
Para resolver esta vulnerabilidad deberemos implementar la nota 3350297 en nuestro sistema SAP, ademas disponemos de la nota 3349318 en la que se documentan preguntas frecuentes entorno a esta vulnerabilidad.
3331376 – [CVE-2023-33989] Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)
Vulnerabilidad mediante la cual un atacante con autorizaciones no administrativas puede explotar un error para sobrescribir archivos del sistema. Los datos de los archivos confidenciales no se pueden leer, pero es posible que algunos archivos del SO se sobrescriban y se comprometa la disponibilidad del sistema.
Para resolver esta vulnerabilidad debemos implementar la nota 3331376, además SAP ha documentado un workaround para resolver la vulnerabilidad.
3233899 – [CVE-2023-33987] Request smuggling and request concatenation vulnerability in SAP Web Dispatcher
Vulnerabilidad en SAP NetWeaver AS ABAP y SAP Web Dispatcher mediante la cual un atacante no autenticado puede enviar una solicitud creada con fines malintencionados a través de una red a un servidor front-end, pudiendo provocar que el servidor confunda los mensajes con otros legítimos, pudiendo ejecutar payloads maliciosos en el sistema.
Esta vulnerabilidad puede causar indisponibilidad del sistema y un impacto limitado en la confidencialidad.
Podemos resolver esta vulnerabilidad mediante una actualización de kernel al último patch disponible y aplicando el hotfix indicado en la nota 3233899, a nivel de kernel.
3324285 – [Update][CVE-2023-33991] Stored Cross-Site Scripting vulnerability in SAP UI5 (Variant Management)
Actualización de la nota 3324285 que describimos en el Security Patch Day de junio, en esta nueva versión se actualizan las versiones a las que aplica la solución.
Como comentábamos en el artículo de junio esta vulnerabilidad ocurre en UI5 y permitiría realizar un ataque de tipo Stored Cross Site Scripting. En caso de producirse una explotación exitosa tendría un impacto alto en la confidencialidad, pudiendo ser modificada la información, y en la disponibilidad de la aplicación.
3331029 – [CVE-2023-33990] Denial of service (DOS) vulnerability in SAP SQL Anywhere
Nueva vulnerabilidad que afecta a SAP SQL Anywhere y permite que un atacante evite que los usuarios legítimos accedan al servicio bloqueando el servicio. Un atacante con una cuenta con pocos privilegios y acceso al sistema local puede escribir en los objetos de memoria compartida, pudiendo provocar una denegación de servicio. Además, podría modificar datos confidenciales en objetos de memoria compartida.
Este problema solo afecta a SAP SQL Anywhere en Windows. Otras plataformas no se ven afectadas.
SAP indica que se ha corregido en la versión SAP SQL Anywhere 17.0 SP1 PL11 y posteriores.
3340735 – [CVE-2023-35871] Memory Corruption vulnerability in SAP Web Dispatcher
Vulnerabilidad que afecta a SAP Web Dispatcher y que puede ser aprovechada por un atacante no autenticado para causar daños en la memoria a través de errores lógicos en la gestión de la memoria. Esto puede conducir a la divulgación de información o bloqueos del sistema, lo que puede tener un impacto bajo en la confidencialidad y un alto impacto en la integridad y disponibilidad del sistema.
Podemos resolver esta vulnerabilidad con una actualización de kernel y aplicar el hotfix indicado.
3352058 – [CVE-2023-36925] Unauthenticated blind SSRF in SAP Solution Manager (Diagnostics agent)
Vulnerabilidad mediante la cual diagnostic agent de SAP Solution Manager permite que un atacante no autenticado ejecute solicitudes HTTP a ciegas. En una explotación exitosa, el atacante puede causar un impacto limitado en la confidencialidad y disponibilidad de la aplicación y otras aplicaciones a las que puede acceder el diagnostic agent.
Para resolver esta vulnerabilidad debemos revisar la información dada en la nota 2686969.
3348145 – [CVE-2023-36921] Header Injection in SAP Solution Manager (Diagnostic Agent)
SAP Solution Manager diagnostic agent permite que un atacante altere los encabezados en una solicitud de cliente de esta manera proporciona contenido alterado al servidor. En una explotación exitosa, el atacante puede causar un impacto limitado en la confidencialidad y disponibilidad de la aplicación.
Para resolver esta vulnerabilidad debemos revisar la información dada en la nota 2686969.
En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Title | Priority | CVSS |
| 2622660 | [Update] | Security updates for the browser control Google Chromium delivered with SAP Business Client | Hot News | 10.0 |
| 3350297 | [CVE-2023-36922] | OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL) | Hot News | 9.1 |
| 3331376 | [CVE-2023-33989] | Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON) | High | 8.7 |
| 3233899 | [CVE-2023-33987] | Request smuggling and request concatenation vulnerability in SAP Web Dispatcher | High | 8.6 |
| 3324285 | [Update][CVE-2023-33991] | Stored Cross-Site Scripting vulnerability in SAP UI5 (Variant Management) | High | 8.2 |
| 3331029 | [CVE-2023-33990] | Denial of service (DOS) vulnerability in SAP SQL Anywhere | High | 7.8 |
| 3340735 | [CVE-2023-35871] | Memory Corruption vulnerability in SAP Web Dispatcher | High | 7.7 |
| 3352058 | [CVE-2023-36925] | Unauthenticated blind SSRF in SAP Solution Manager (Diagnostics agent) | High | 7.2 |
| 3348145 | [CVE-2023-36921] | Header Injection in SAP Solution Manager (Diagnostic Agent) | High | 7.2 |
| 3343547 | [CVE-2023-35873] | Missing Authentication check in SAP NetWeaver Process Integration (Runtime Workbench) | Medium | 6.5 |
| 3343564 | [CVE-2023-35872] | Missing Authentication check in SAP NetWeaver Process Integration (Message Display Tool) | Medium | 6.5 |
| 3341211 | [CVE-2023-35870] | Improper Access Control in SAP S/4HANA (Manage Journal Entry Template) | Medium | 6.3 |
| 3326769 | [Multiple CVEs] | Multiple Vulnerabilities in SAP Enable Now CVEs – CVE-2023-33988, CVE-2023-36918, CVE-2023-36920, CVE-2023-36919 | Medium | 6.1 |
| 3318850 | [CVE-2023-35874] | Improper authentication vulnerability in SAP NetWeaver AS ABAP and ABAP Platform | Medium | 6.0 |
| 3320702 | [CVE-2023-36917] | Password Change rate limit bypass in SAP BusinessObjects Business Intelligence Platform | Medium | 5.9 |
| 3324732 | [CVE-2023-31405] | Log Injection vulnerability in SAP NetWeaver AS for Java (Log Viewer) | Medium | 5.3 |
| 3351410 | [CVE-2023-36924] | Log Injection vulnerability in SAP ERP Defense Forces and Public Security | Medium | 4.9 |
| 3088078 | [CVE-2023-33992] | Missing Authorization Check in SAP Business Warehouse and SAP BW/4HANA | Medium | 4.5 |
Este mes SAP ha liberado 18 notas de seguridad de las cuales 2 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Julio | 0 | 9 | 7 | 2 | 18 |
| Junio | 1 | 8 | 4 | 0 | 13 |
| Mayo | 3 | 10 | 9 | 2 | 24 |
| Abril | 3 | 15 | 1 | 5 | 24 |
| Marzo | 0 | 10 | 4 | 5 | 19 |
| Febrero | 0 | 20 | 5 | 1 | 26 |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 7 | 77 | 30 | 20 | 136 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | Mayo | Junio | Julio | TOTAL | |
| Clickjacking | 0 | |||||||
| Code Injection | 2 | 1 | 2 | 4 | 1 | 10 | ||
| Cross-Site Scripting | 3 | 12 | 4 | 1 | 5 | 9 | 34 | |
| Denial of Service | 2 | 2 | 1 | 1 | 4 | 10 | ||
| Improper authentication | 4 | 4 | 2 | 3 | 1 | 14 | ||
| Improper input validation | 1 | 3 | 1 | 2 | 1 | 8 | ||
| Information Disclosure | 1 | 1 | 3 | 3 | 12 | 1 | 21 | |
| Memory corruption | 2 | 1 | 3 | 6 | ||||
| Missing Authorization Check | 1 | 4 | 5 | 1 | 1 | 3 | 15 | |
| Missing input Validation | 0 | |||||||
| Missing XML Validation | 0 | |||||||
| Remote Code Execution | 2 | 2 | 1 | 5 | ||||
| Server Side Request Forgery | 1 | 1 | ||||||
| SQL Injection | 1 | 1 | 1 | 3 | ||||
| Otros | 2 | 6 | 3 | 6 | 3 | 2 | 5 | 27 |
| 16 | 28 | 22 | 27 | 26 | 26 | 26 | 154 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes de SAP ME y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Artículos anteriores de este mismo año 2023:
FEBRERO 2023 – MARZO 2023 – ABRIL 2023 – MAYO2023 – JUNIO2023
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4–167e-0010-bca6-c68f7e60039b.html
