Como cada segundo martes de cada mes, el equipo de seguridad de SAP ha compartido las notas de seguridad que solucionan vulnerabilidades en los sistemas SAP en el denominado SAP Security Patch Day y por tanto, aquí venimos con el artículo en el que intentamos dar una visión mas cercana de estas vulnerabilidades y ayudar de algún modo a saber si aplican o no a vuestros sistemas.

En cuanto a números, este mes han liberado 13 notas de seguridad de las cuales 5 son de prioridad alta con una puntuación CVSS por encima de 7. De las 13 notas, 4 son actualizaciones de vulnerabilidades descubiertas en meses anteriores, por lo que habrá que revisar las notas de nuevo para ejecutar las instrucciones en caso de que aplique a nuestros sistemas. De las 5 notas de prioridad alta 3 son encontradas en el último mes y por tanto las más importantes para chequear si afectan o no a nuestros sistemas.

A continuación, analizaremos estas 5 notas:

Las dos primeras, con la máxima puntuación CVSS, son actualizaciones de meses anteriores.

Una de ellas es la ya tantas veces mencionada vulnerabilidad en el navegador Chromium al usar Business Client 6.5, y la otra actualización tiene que ver con falta de chequeos de autorización en el Solution Manager. De esta vulnerabilidad y de algunas otras, ya hablamos en su día en el artículo relativo a la importancia de la seguridad en Solution Manager publicado en septiembre de 2020.

Respecto a las encontradas este mes, la primera de ellas, con una puntuación CVSS de 9.9, se encuentra la vulnerabilidad CVE-2021-21480 que afecta al producto de SAP, “Manufacturing Integration and Intelligence” en las versiones comprendidas entre la 15.1 y la 15.4. Este fallo permite que un atacante pueda interceptar una petición al servidor e inyectar código JSP malicioso guardar Dashboards en formato JSP. De esta manera, al abrir el Dashboard con permisos de desarrollador, el código se ejecuta permitiendo al atacante una escalada de privilegios poniendo en riesgo la confidencialidad, integridad y disponibilidad del servidor. La solución se basa en actualizar el componente a la ultima versión. Tras esta actualización, ningún usuario podrá guardar Dashboards en formato JSP.

La siguiente vulnerabilidad que sigue de cerca a la anterior con una puntuación de 9.6, aplica al “MigrationService” de los sistemas NW Java comprendidos entre las versiones 7.10 y 7.5. La vulnerabilidad CVE-2021-21481 permite a un atacante no autorizado a acceder a los objetos de configuración al no realizar un chequeo de autorización, incluidos los que otorgan privilegios. Como explica la nota 3022422, la solución pasa por actualizar el componente J2EE-APPS a la ultima versión, lo cual, conlleva reinicio de la pila JAVA.

Por último, con una puntuación de 7.7, se encuentra la vulnerabilidad CVE-2021-21484 que permite omitir la autenticación en el LDAP de SAP HANA. Este error que aplica a la versión 2.0 de SAP HANA, se soluciona aplicando una de las siguientes versiones.

  • SAP HANA 2.0 SPS04: revisión 48.04
  • SAP HANA 2.0 SPS05: revisión 54

Además de las 3 vulnerabilidades comentadas, podéis ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:

En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 169 notas de seguridad de las cuales 28 tienes una puntuación CVSS por encima de 9 y 37 por encima de 7.

LOWMEDIUMHIGHHOT NEWSTOTAL
Enero1101517
Febrero 82313
Marzo 81413
TOTAL12641243

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

EneroFebreroMarzoTOTAL
Clickjacking 1 1
Code Injection2 13
Cross-Site Scripting 1 1
Denial of Service11 2
Improper input validation  1010
Information Disclosure3  3
Missing Authorization Check43613
Missing input Validation16  16
Remote Code Execution 1 1
Server Side Request Forgery  11
SQL Injection11 2
Otros66416
33142269

En el launchpad de SAP, existe un apartado donde están listadas todas las notas de seguridad liberadas. La url es https://launchpad.support.sap.com/#/securitynotes y en esta aplicación, se pueden listar los sistemas que tengamos como productivos en SAP e ir decidiendo una acción sobre cada una de las notas. Las opciones son, confirmar, para marcar las que ya hayamos instalado en nuestro sistema o No Relevante, para las notas que no aplican a nuestro sistema. De esta manera, podremos tener un control más exhaustivo de la seguridad de nuestros sistemas en cuanto a notas se refiere.

Como siempre, solo queda recomendar realizar mensualmente un chequeo de las notas de seguridad liberadas por SAP e instalar la que se aplique a los sistemas de cada empresa.

Fuente:

https://wiki.scn.sap.com/

https://cve.mitre.org/