Con precisión alemana, SAP ha publicado desde 2018, el segundo martes de cada mes una entrada en su blog con el security patch day. Ahora para consultar las notas de seguridad publicadas debemos utilizar la aplicación de security notes del launchpad, o acceder a un documento que SAP publica aquí.
Desde Oreka IT seguimos considerando importante continuar con la divulgación de estas actualizaciones ya que entendemos que es la mejor forma de explicar la criticidad de mantener actualizadas las aplicaciones corporativas.
Comenzando con el análisis cuantitativo, desde el último security patch day de junio SAP ha publicado 26 notas de seguridad, de las cuales 4 son de importancia high, este mes no hay ninguna nota de seguridad calificada como Hot new.
Tras revisar las notas publicadas en este security patch day, vemos que las más críticas se enfocan en Sap Business One y se pueden resolver actualizando a la última versión 10.0 FP2202. Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.
A continuación, analizaremos estas 4 notas:
Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console)
Vulnerabilidad en SAP Business Objects CMC que permite a un atacante no autenticado obtener información a través de la red, información que debería estar restringida. Para que esta vulnerabilidad sea posible es necesario que un usuario legítimo acceda a la aplicación y esté localmente comprometido, por ejemplo, mediante la técnica del sniffing o ingeniería social. En caso de conseguirlo el atacante puede comprometer la seguridad de la aplicación.
SAP ha documentado esta vulnerabilidad en la nota 3221288, en la que nos indica que esta vulnerabilidad está solventada desde las versiones 4.2 SP09 Patch 9 y 4.3 SP01. Versiones que SAP ha publicado recientemente.
Una vez más, cabe remarcar la importancia de mantener actualizadas las aplicaciones y de seguir un plan de mantenimiento que nos permita anticiparnos a estas vulnerabilidades.
[CVE-2022-32249] Information Disclosure vulnerability in SAP Business One
Vulnerabilidad en SAP Business One cuando este se integra con SAP HANA. Un atacante podría vulnerar la HANA Cockpit data volume para conseguir acceso a información altamente sensible cómo credenciales de cuenta con privilegios.
Según la información publicada en la nota 3212997, existe un workaround parcial que únicamente solventa la vulnerabilidad para el protocolo FTP. SAP insiste en la necesidad de actualizar a la última versión de SAP Business One 10.0 FP2202 que resuelve esta vulnerabilidad.
[CVE-2022-28771] Missing Authentication check in SAP Business One (License service API)
En la nota 3157613 SAP documenta la información de esta vulnerabilidad por la que un atacante sin autenticar puede enviar peticiones HTTP maliciosas sobre la red y en caso de lograr explotar la vulnerabilidad podría afectar al funcionamiento de la aplicación pudiendo provocar una indisponibilidad de la aplicación.
SAP proporciona el workaround descrito en la nota 3189816, pero insiste en que la solución permanente y recomendada es actualizar a la última versión disponible de SAP Business One 10.0 FP2202.
[CVE-2022-31593] Code Injection vulnerability in SAP Business One
Vulnerabilidad en la que un atacante con pocos privilegios puede realizar una inyección de código que puede ser ejecutado por Sap Business One. Pudiendo llegar a obtener control sobre el funcionamiento de la aplicación.
La vulnerabilidad afecta principalmente al cliente B1, que puede ejecutar otros ficheros ejecutables.
Actualmente los usuarios pueden subir ficheros desde el cliente B1 y ejecutarlos en la aplicación, con la nueva versión SAP Business One 10.0 FP2202 se añade la funcionalidad de aplicar un filtro por tipo de fichero para evitar que se suban ficheros con demasiado riesgo.
Por lo tanto, para disponer de una solución a esta vulnerabilidad es necesario actualizar a la última versión disponible.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Description | Component | Priority | CVSS |
|
[CVE-2022-35228] |
Information disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console) | BI-BIP-CMC | 8,3 | High | |
| 3212997 | [CVE-2022-32249] | Information Disclosure vulnerability in SAP Business One | SBO-CRO-SEC | 7,6 | High |
| 3157613 | [CVE-2022-28771] | Authentication check in SAP Business One (License service API) | SBO-CRO-SEC | 7,5 | High |
| 3191012 | [CVE-2022-31593] | Code Injection vulnerability in SAP Business One | SBO-CRO-SEC | 7,4 | High |
| 3147498 | Improper Access Control check in SAP NetWeaver basicadmin and adminadapter services | BC-JAS-ADM-ADM | 7,4 | High | |
| 3169239 | [CVE-2022-29619] | Information Disclosure to user Administrator in SAP BusinessObjects Business Intelligence Platform 4.x | BI-BIP-ADM | 6,5 | Medium |
| 3142092 | [CVE-2022-22542] | Information Disclosure vulnerability in SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) | LO-MD-BP | 6,5 | Medium |
| 3165801 | [CVE-2022-29611] | Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform | BC-ABA-LI | 6,5 | Medium |
| 2726124 | Missing Authorization Check in multiple components under SAP Automotive Solutions | IS-A | 6,3 | Medium | |
| 3211760 | [CVE-2022-35227] | Cross-Site Scripting (XSS) vulnerability in SAP NW EP WPC | EP-PIN-WPC | 6,1 | Medium |
| 3210779 | [CVE-2022-35224] | Cross-Site Scripting (XSS) vulnerability in SAP Enterprise Portal | EP-PIN-GPA | 6,1 | Medium |
| 3209557 | [CVE-2022-32247] | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal | EP-PIN-TOL | 6,1 | Medium |
| 3208880 | [CVE-2022-35225] | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal | EP-PIN-PRT | 6,1 | Medium |
| 3208819 | [CVE-2022-35170] | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal | EP-PIN-AI | 6,1 | Medium |
| 3207902 | [CVE-2022-35172] | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal | EP-PIN-URL | 6,1 | Medium |
| 3194361 | [CVE-2022-35169] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (LCM) | BI-BIP-SRV | 6 | Medium |
| 3167430 | [CVE-2022-31591] | Privilege Escalation vulnerability in SAP BusinessObjects (BW Publisher Service) | BI-BIP-IK-PAR-SAP | 5,6 | Medium |
| 3213826 | [CVE-2022-31597] | Missing Authorization check in SAP S/4HANA(business partner extension for Spain/Slovakia) | FI-LOC-FI-ES | 5,4 | Medium |
| 3213279 | [CVE-2022-31598] | Cross-Site Scripting (XSS) vulnerability in SAP Business Objects | BI-BIP-CMC | 5,4 | Medium |
| 3203079 | [CVE-2022-32246] | SQL Injection vulnerability in SAP BusinessObjects Business Intelligence Platform (Visual Difference Application) | BI-BIP-VD | 5,4 | Medium |
| 3150454 | Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform | BC-MID-RFC | 4,9 | Medium | |
| 3150463 | Information Disclosure vulnerability in ABAP Platform | BC-MID-RFC | 4,9 | Medium | |
| 3216161 | [CVE-2022-32248] | Missing Input Validation in Manage Checkbooks component of SAP S/4HANA | FI-FIO-AP | 4,3 | Medium |
| 3211203 | [CVE-2022-35168] | Denial of Service vulnerability in SAP Business One | SBO-CRO-SEC | 4,3 | Medium |
| 3196280 | [CVE-2022-31592] | Missing Authorization check in EA-DFPS | IS-DFS-MM | 4,3 | Medium |
|
[CVE-2022-35171] |
Improper Input Validation in SAP 3D Visual Enterprise Viewer | CA-VE-VEV | 3,3 | Low |
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Enero | 1 | 5 | 2 | 1 | 9 |
| Febrero | 1 | 6 | 3 | 9 | 19 |
| Marzo | 1 | 10 | 1 | 4 | 16 |
| Abril | 2 | 17 | 7 | 7 | 33 |
| Mayo | 8 | 2 | 4 | 14 | |
| Junio | 2 | 7 | 2 | 1 | 12 |
| Julio | 1 | 20 | 5 | 26 | |
| TOTAL | 7 | 53 | 17 | 26 | 103 |
| Enero | Febrero | Marzo | Abril | Mayo | Junio | Julio | TOTAL | |
| Clickjacking | ||||||||
| Code Injection | 2 | 1 | 3 | 1 | 2 | 9 | ||
| Cross-Site Scripting | 2 | 2 | 4 | 4 | 3 | 1 | 7 | 23 |
| Denial of Service | 1 | 2 | 4 | 2 | 9 | |||
| Improper authentication | 1 | 1 | 2 | |||||
| Improper input validation | 2 | 1 | 1 | 1 | 2 | 7 | ||
| Information Disclosure | 4 | 2 | 4 | 6 | 4 | 1 | 7 | 28 |
| Memory corruption | 1 | 1 | 2 | |||||
| Missing Authorization Check | 1 | 1 | 5 | 1 | 1 | 1 | 6 | 16 |
| Missing input Validation | 1 | 1 | 2 | |||||
| Missing XML Validation | 3 | 3 | ||||||
| Remote Code Execution | 1 | 7 | 1 | 6 | 4 | 1 | 20 | |
| Server Side Request Forgery | 2 | 2 | ||||||
| SQL Injection | 1 | 1 | ||||||
| Otros | 2 | 6 | 1 | 6 | 1 | 16 | ||
| 12 | 19 | 16 | 36 | 14 | 15 | 28 | 140 |
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
JUNIO 2022 – MAYO 2022 – ABRIL 2022 – MARZO 2022 – FEBRERO 2022
