A las puertas del verano SAP continúa ofreciéndonos su resumen mensual de las nuevas vulnerabilidades solucionadas en este Security Patch Day de junio, en este post analizaremos las últimas notas de seguridad liberadas por SAP y las explicamos de la manera más sencilla posible.
En cuanto al análisis cuantitativo, en esta ocasión, SAP ha publicado 13 notas, de las cuales 4 son de importancia high, y no ha liberado ninguna hot new.
En esta ocasión, no vamos a destacar una nota en concreto, pero si queremos señalar el esfuerzo de SAP en resolver vulnerabilidades de tipo Cross Site Scripting (XSS) ya que 9 de las 13 notas de esta publicación resuelven vulnerabilidades de este tipo.
3102769 – Cross-Site Scripting (XSS) vulnerability in SAP Knowledge Warehouse
Actualización de la nota 3102769, que resuelve una vulnerabilidad de cross-site scripting (XSS) en Knowledge Warehouse. En esta actualización se renueva la información referente a la compatibilidad y parches de las versiones 7.31 y 7.40
Esta vulnerabilidad afecta a SAP KW y permite a atacantes no autorizados llevar a cabo ataques XSS, pudiendo llegar a leer datos confidenciales.
La solución consiste en mantener SAP KW actualizado a las versiones indicadas en la nota 3102769, aunque también disponemos de un workaround documentado en la misma nota.
3324285 – Stored Cross-Site Scripting (Stored XSS) vulnerability in UI5 Variant Management
Nueva vulnerabilidad en UI5 por la que se podría realizar un ataque de tipo Stored Cross Site Scripting. En caso de producirse una explotación exitosa tendría un impacto alto en la confidencialidad, pudiendo ser modificada la información, y en la disponibilidad de la aplicación.
SAP ha resuelto esta vulnerabilidad en las nuevas versiones de SAP_UI, en la nota 3324285 encontramos las versiones de SAP_UI que resuelven esta vulnerabilidad.
3301942 – Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital Manufacturing
Vulnerabilidad que afecta a la integración de SAP Plant Connectivity o Production Connector con SAP Digital Manufacturing ya que no validan la firma del JSON Web Token (JWT) en la solicitud HTTP enviada desde SAP Digital Manufacturing.
Como consecuencia, los autores de llamada no autorizados de la red interna, podrían enviar solicitudes de servicio, lo que podría afectar a la integridad de la integración con SAP Digital Manufacturing.
Para resolver esta vulnerabilidad deberemos seguir los pasos indicados en la nota 3304867.
3326210 – Improper Neutralization of Input in SAPUI5
Actualización de la nota 3326210, analizada en nuestro Security patch day de mayo. En esta actualización SAP ha actualizado las versiones de SAP_UI que contienen esta solución y el workaround disponible.
Como comentábamos en mayo, debido a la neutralización incorrecta de la entrada en SAPUI5, se podría realizar una inyección de código CSS, pudiendo bloquear la interacción del usuario con la aplicación y permitiendo al atacante leer o modificar la información del usuario a través de un ataque de phishing.
Debemos actualizar a las versiones de SAPUI5 indicadas en la nota 3326210.
En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Title | Priority | CVSS |
| 3102769 | [Update][CVE-2021-42063] | Cross-Site Scripting (XSS) vulnerability in SAP Knowledge Warehouse | High | 8.8 |
| 3324285 | [CVE-2023-33991] | Stored Cross-Site Scripting (Stored XSS)vulnerability in UI5 Variant Management | High | 8.2 |
| 3301942 | [CVE-2023-2827] | Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital Manufacturing | High | 7.9 |
| 3326210 | [Update][CVE-2023-30743] | Improper Neutralization of Input in SAPUI5 | High | 7.1 |
| 3142092 | [Update][CVE-2022-22542] | Information Disclosure vulnerability in SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) | Medium | 6.5 |
| 3318657 | [CVE-2023-33984] | Cross-Site Scripting (XSS) vulnerability in NetWeaver (Design Time Repository) | Medium | 6.4 |
| 3331627 | [CVE-2023-33985] | Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal | Medium | 6.1 |
| 2826092 | [CVE-2023-33986] | Cross-Site Scripting (XSS) vulnerability in SAP CRM ABAP (Grantor Management) | Medium | 6.1 |
| 3322800 | [Update] [CVE-2023-30742] | Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) | Medium | 6.1 |
| 3315971 | [Update] [CVE-2023-30742] | Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) | Medium | 6.1 |
| 3319400 | [Update] [CVE-2023-31406] | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform | Medium | 6.1 |
| 1794761 | [CVE-2023-32115] | SQL Injection in Master Data Synchronization (MDS COMPARE TOOL) | Medium | 4.2 |
| 3325642 | [CVE-2023-32114] | Denial of Service in SAP NetWeaver (Change and Transport System) | Low | 2.7 |
| 3322800 | [Update] [CVE-2023-30742] | Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) | Medium | 6.1 |
| 3315971 | [Update] [CVE-2023-30742] | Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) | Medium | 6.1 |
| 3319400 | [Update] [CVE-2023-31406] | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform | Medium | 6.1 |
Este mes SAP ha liberado 13 notas de seguridad de las cuales ninguna tiene una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Junio | 1 | 8 | 4 | 0 | 13 |
| Mayo | 3 | 10 | 9 | 2 | 24 |
| Abril | 3 | 15 | 1 | 5 | 24 |
| Marzo | 0 | 10 | 4 | 5 | 19 |
| Febrero | 0 | 20 | 5 | 1 | 26 |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 7 | 68 | 23 | 18 | 118 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | Mayo | Junio | TOTAL | |
| Clickjacking | 0 | ||||||
| Code Injection | 2 | 1 | 2 | 4 | 9 | ||
| Cross-Site Scripting | 3 | 12 | 4 | 1 | 5 | 9 | 34 |
| Denial of Service | 2 | 2 | 1 | 1 | 6 | ||
| Improper authentication | 4 | 4 | 2 | 3 | 1 | 14 | |
| Improper input validation | 1 | 3 | 1 | 2 | 1 | 8 | |
| Information Disclosure | 1 | 1 | 3 | 3 | 12 | 1 | 21 |
| Memory corruption | 2 | 1 | 3 | ||||
| Missing Authorization Check | 1 | 4 | 5 | 1 | 1 | 12 | |
| Missing input Validation | 0 | ||||||
| Missing XML Validation | 0 | ||||||
| Remote Code Execution | 2 | 2 | 4 | ||||
| Server Side Request Forgery | 0 | ||||||
| SQL Injection | 1 | 1 | 2 | ||||
| Otros | 2 | 6 | 3 | 6 | 3 | 2 | 22 |
| 16 | 28 | 22 | 27 | 26 | 26 | 135 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes de SAP Me y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Artículos anteriores de este mismo año 2023:
FEBRERO 2023 – MARZO 2023 – ABRIL 2023 – MAYO2023
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
