SAP continúa trabajando para mantener al día su software frente a las nuevas vulnerabilidades descubiertas, y nosotros desde Oreka IT continuamos analizando las novedades relativas a la seguridad que libera SAP y os las traemos contadas de una manera más cercana en esta entrada de nuestro blog.
Este mes, queremos destacar la vulnerabilidad publicada en este security patch day de junio que implica al saprouter, si utilizáis saprouter no dejéis de revisar nuestro análisis de la nota 3158375 ya que es muy probable que tengáis que llevar a cabo acciones para resolverla o mitigar la vulnerabilidad.
En cuanto al análisis cuantitativo de las notas publicadas, en esta ocasión SAP ha publicado 12 notas de seguridad de las cuales 3 son de importancia high o hot news, con una puntuación CVSS superior a 7. De las cuales 2 son actualizaciones de notas de seguridad ya publicadas.
A continuación, analizaremos estas 3 notas:
[Update] Security updates for the browser control Google Chromium delivered with SAP Business Client
Actualización de la nota 2622660, una nota ya conocida por todos que recopila las últimas actualizaciones del navegador basado en chromium integrado en SAP Business Client.
En esta actualización SAP, mantiene al día las versiones de SAP Business Client con las múltiples las vulnerabilidades que se parchean en cada nueva versión de chromium, por lo que es muy recomendable mantener actualizada la versión de SAP Bussines client que estemos utilizando.
[CVE-2022-27668] Improper Access Control of SAProuter for SAP NetWeaver and ABAP Platform
La nota 3158375 trata una vulnerabilidad en el saprouter por la que dependiendo de la configuración de las rutas permitidas en el fichero saprouttab es posible para un atacante no autenticado ejecutar comandos de administración de saprouter y poder pararlo, pudiendo impactar en la disponibilidad del sistema.
La vulnerabilidad ocurre cuando el fichero saprouttab contiene alguna entrada de tipo “P” o “S” con Wildcard (*) para el host objetivo o para el puerto del saprouter (por defecto es el 3299).
SAP destaca que por razones de seguridad recomienda evitar los wildcards en las reglas del saprouttab
La solución que propone SAP es actualizar el SAProuter a la última versión disponible, 7.53 o 7.22.
Para una solución inmediata, el workaround propuesto por SAP es configurar el fichero saprouttab sin wildcards en las entradas “P” o “S” y reemplazarlas por direcciones IP o hostnames específicos.
[CVE-2022-31590] Potential privilege escalation in SAP PowerDesigner Proxy 16.7
Vulnerabilidad recogida en la nota 3197005 que permite a un atacante con privilegios bajos y acceso local, evitar las restricciones de acceso al disco raíz del sistema pudiendo escribir/crear un archivo de programa en la ruta raíz del disco del sistema, que luego podría ejecutarse con privilegios elevados durante el inicio o reinicio de la aplicación, lo que podría comprometer la confidencialidad, la integridad y la disponibilidad del sistema.
La solución que nos propone SAP es actualizar SAP PowerDesigner Proxy 16.7 a la versión SP05 PL03 o superior, aunque también nos indica un workaround que nos pude servir para mitigar la vulnerabilidad de una manera más inmediata, este workaround se detalla en la nota 3197005.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
Note# | Description | Priority | CVSS |
2622660 |
Update to Security Note released on April 2018 Patch Day:Security updates for the browser control Google Chromium delivered with SAP Business Client | Very High | 10 |
3158375 | [CVE-2022-27668] Improper Access Control of SAProuter for SAP NetWeaver and ABAP Platform | High | 8.6 |
3197005 | [CVE-2022-31590] Potential privilege escalation in SAP PowerDesigner Proxy 16.7 | High | 7.8 |
3165801 | Update to Security Note released on May 2022 Patch Day: [CVE-2022-29611] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform | Medium | 6.5 |
3206271 | [Multiple CVEs] Improper Input Validation in SAP 3D Visual Enterprise Viewer | Medium | 6.5 |
3197927 | [CVE-2022-29618] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Development Infrastructure (Design Time Repository) | Medium | 6.1 |
3194674 | [CVE-2022-29612] Server-Side Request Forgery in SAP NetWeaver, ABAP Platform and SAP Host Agent | Medium | 5.0 |
3203065 | [CVE-2022-31589] Segregation of Duty vulnerability inILFI-APFile from SHAAM program | Medium | 5.0 |
3158815 | [CVE-2022-31595] Privilege escalation vulnerability in SAP Financial Consolidation | Medium | 5.0 |
3158619 | [CVE-2022-29614] Privilege Escalation in SAP startservice of SAP NetWeaverASABAP,ASJava, ABAP Platform and HANA Database | Medium | 4.9 |
3202846 | [CVE-2022-29615] Multiple vulnerabilities associated with Apache log4j 1.x component in SAP Netweaver Developer Studio (NWDS) | Low | 3.4 |
3155571 | [CVE-2022-31594] Privilege escalation vulnerability in SAP Adaptive Server Enterprise (ASE) | Low | 3.2 |
LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
Enero | 1 | 5 | 2 | 1 | 9 |
Febrero | 1 | 6 | 3 | 9 | 19 |
Marzo | 1 | 10 | 1 | 4 | 16 |
Abril | 2 | 17 | 7 | 7 | 33 |
Mayo | 8 | 2 | 4 | 14 | |
Junio | 2 | 7 | 2 | 1 | 12 |
TOTAL | 7 | 53 | 17 | 26 | 103 |
Enero | Febrero | Marzo | Abril | Mayo | Junio | TOTAL | |
Clickjacking | |||||||
Code Injection | 2 | 1 | 3 | 1 | 7 | ||
Cross-Site Scripting | 2 | 2 | 4 | 4 | 3 | 1 | 16 |
Denial of Service | 1 | 2 | 4 | 7 | |||
Improper authentication | 1 | 1 | 2 | ||||
Improper input validation | 2 | 1 | 1 | 1 | 5 | ||
Information Disclosure | 4 | 2 | 4 | 6 | 4 | 1 | 21 |
Memory corruption | 1 | 1 | 2 | ||||
Missing Authorization Check | 1 | 1 | 5 | 1 | 1 | 1 | 10 |
Missing input Validation | 1 | 1 | |||||
Missing XML Validation | 3 | 3 | |||||
Remote Code Execution | 1 | 7 | 1 | 6 | 4 | 1 | 20 |
Server Side Request Forgery | 2 | 2 | |||||
SQL Injection | 1 | 1 | |||||
Otros | 2 | 6 | 1 | 6 | 15 | ||
12 | 19 | 16 | 36 | 14 | 15 | 112 |
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Fuentes:
https://wiki.scn.sap.com/
https://cve.mitre.org/
Artículos anteriores de este mismo año 2022: