A las puertas del verano SAP continúa ofreciéndonos su resumen mensual de las nuevas vulnerabilidades solucionadas en este Security Patch Day de junio, en este post analizaremos las últimas notas de seguridad liberadas por SAP y las explicamos de la manera más sencilla posible.

En cuanto al análisis cuantitativo, en esta ocasión, SAP ha publicado 13 notas, de las cuales 4 son de importancia high, y no ha liberado ninguna hot new.

En esta ocasión, no vamos a destacar una nota en concreto, pero si queremos señalar el esfuerzo de SAP en resolver vulnerabilidades de tipo Cross Site Scripting (XSS) ya que 9 de las 13 notas de esta publicación resuelven vulnerabilidades de este tipo.

3102769 – Cross-Site Scripting (XSS) vulnerability in SAP Knowledge Warehouse

Actualización de la nota 3102769, que resuelve una vulnerabilidad de cross-site scripting (XSS) en Knowledge Warehouse. En esta actualización se renueva la información referente a la compatibilidad y parches de las versiones 7.31 y 7.40

Esta vulnerabilidad afecta a SAP KW y permite a atacantes no autorizados llevar a cabo ataques XSS, pudiendo llegar a leer datos confidenciales.

La solución consiste en mantener SAP KW actualizado a las versiones indicadas en la nota 3102769, aunque también disponemos de un workaround documentado en la misma nota.

3324285 – Stored Cross-Site Scripting (Stored XSS) vulnerability in UI5 Variant Management

Nueva vulnerabilidad en UI5 por la que se podría realizar un ataque de tipo Stored Cross Site Scripting. En caso de producirse una explotación exitosa tendría un impacto alto en la confidencialidad, pudiendo ser modificada la información, y en la disponibilidad de la aplicación.

SAP ha resuelto esta vulnerabilidad en las nuevas versiones de SAP_UI, en la nota 3324285 encontramos las versiones de SAP_UI que resuelven esta vulnerabilidad.

3301942 – Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital Manufacturing

Vulnerabilidad que afecta a la integración de SAP Plant Connectivity o Production Connector con SAP Digital Manufacturing ya que no validan la firma del JSON Web Token (JWT) en la solicitud HTTP enviada desde SAP Digital Manufacturing.

Como consecuencia, los autores de llamada no autorizados de la red interna, podrían enviar solicitudes de servicio, lo que podría afectar a la integridad de la integración con SAP Digital Manufacturing.

Para resolver esta vulnerabilidad deberemos seguir los pasos indicados en la nota 3304867.

3326210 – Improper Neutralization of Input in SAPUI5

Actualización de la nota 3326210, analizada en nuestro Security patch day de mayo. En esta actualización SAP ha actualizado las versiones de SAP_UI que contienen esta solución y el workaround disponible.

Como comentábamos en mayo, debido a la neutralización incorrecta de la entrada en SAPUI5, se podría realizar una inyección de código CSS, pudiendo bloquear la interacción del usuario con la aplicación y permitiendo al atacante leer o modificar la información del usuario a través de un ataque de phishing.

Debemos actualizar a las versiones de SAPUI5 indicadas en la nota 3326210.

En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

NoteCVETitlePriorityCVSS
3102769[Update][CVE-2021-42063]Cross-Site Scripting (XSS) vulnerability in SAP Knowledge WarehouseHigh 8.8
3324285[CVE-2023-33991]Stored Cross-Site Scripting (Stored XSS)vulnerability in UI5 Variant ManagementHigh 8.2
3301942[CVE-2023-2827]Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital ManufacturingHigh 7.9
3326210[Update][CVE-2023-30743]Improper Neutralization of Input in SAPUI5High 7.1
3142092[Update][CVE-2022-22542]Information Disclosure vulnerability in SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer)Medium 6.5
3318657[CVE-2023-33984]Cross-Site Scripting (XSS) vulnerability in NetWeaver (Design Time Repository)Medium 6.4
3331627[CVE-2023-33985]Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise PortalMedium 6.1
2826092[CVE-2023-33986]Cross-Site Scripting (XSS) vulnerability in SAP CRM ABAP (Grantor Management)Medium 6.1
3322800[Update] [CVE-2023-30742]Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)Medium 6.1
3315971[Update] [CVE-2023-30742]Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)Medium 6.1
3319400[Update] [CVE-2023-31406]Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platformMedium 6.1
1794761[CVE-2023-32115]SQL Injection in Master Data Synchronization (MDS COMPARE TOOL)Medium 4.2
3325642[CVE-2023-32114]Denial of Service in SAP NetWeaver (Change and Transport System)Low 2.7
3322800[Update] [CVE-2023-30742]Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)Medium 6.1
3315971[Update] [CVE-2023-30742]Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)Medium 6.1
3319400[Update] [CVE-2023-31406]Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platformMedium 6.1

Este mes SAP ha liberado 13 notas de seguridad de las cuales ninguna tiene una puntuación CVSS por encima de 9.

 LOWMEDIUMHIGHHOT NEWSTOTAL
Junio184013
Mayo3109224
Abril3151524
Marzo0104519
Febrero0205126
Enero050512
TOTAL7682318118

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

EneroFebreroMarzoAbrilMayoJunioTOTAL
Clickjacking      0
Code Injection2124  9
Cross-Site Scripting312415934
Denial of Service  22116
Improper authentication44231 14
Improper input validation13 1218
Information Disclosure113312121
Memory corruption  2 1 3
Missing Authorization Check 1451112
Missing input Validation      0
Missing XML Validation      0
Remote Code Execution2  2  4
Server Side Request Forgery      0
SQL Injection1    12
Otros26363222
162822272626135

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes de SAP Me y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.

Artículos anteriores de este mismo año 2023:

FEBRERO 2023 – MARZO 2023 – ABRIL 2023 MAYO2023

Fuentes:

https://wiki.scn.sap.com/

https://launchpad.support.sap.com/#/securitynotes

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

https://cve.mitre.org/