Actualizamos nuestro artículo mensual con las últimas notas de seguridad liberadas por SAP, en este post analizamos las últimas notas de seguridad liberadas por SAP y las explicamos de la manera más sencilla posible.

En cuanto al análisis cuantitativo, en esta nueva publicación del Security Patch Day del mes de marzo 2023, SAP ha publicado 19 notas, de las cuales 4 son de importancia high, y en esta ocasión 5 han sido clasificadas como hot news.

Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.

A continuación, analizaremos estas 7 notas:

3245526 – Code Injection vulnerability in SAP Business Objects Business Intelligence Platform

Nueva vulnerabilidad en SAP Business Objects Business Intelligence Platform (CMC) por la que mediante una inyección de código se podría permitir que un atacante obtenga acceso a los recursos permitidos con privilegios adicionales. Un ataque exitoso podría tener un gran impacto en la confidencialidad, la integridad y la disponibilidad del sistema.

Como mitigación inmediata SAP nos presenta el workaround definido en la nota 3245526, aunque la solución recomendada es actualizar hasta los SP documentados en esta misma nota.

3252433 – Improper Access Control in SAP NetWeaver AS for Java

3294595 – Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform

Ambas notas 3252433 y 3294595 tratan la vulnerabilidad recogida en el CVE-2023-23857.

Se trata de una nueva vulnerabilidad en SAP NetWeaver AS for Java debido a la falta de verificación de autenticación, el servidor de aplicaciones SAP NetWeaver AS Java permite que un atacante no autenticado se conecte a una interfaz abierta y haga uso de una API abierta de nombres y directorios para acceder a servicios que pueden usarse para realizar operaciones no autorizadas que afectan a usuarios y servicios en todos los sistemas.

En caso de conseguir explotar esta vulnerabilidad, el atacante puede leer y modificar cierta información confidencial, pero también puede usarse para bloquear elementos u operaciones del sistema pudiendo provocar una indisponibilidad.

Podemos resolver esta vulnerabilidad actualizando hasta el nivel de SP indicado en la nota 3252433.

3302162 – Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform (SAPRSBRO Program)

Nueva vulnerabilidad por la que un atacante con autorizaciones no administrativas puede explotar un fallo en el programa SAPRSBRO, pudiendo sobrescribir los archivos del sistema.

En este ataque, no se pueden leer datos, pero se pueden sobrescribir archivos del sistema operativo potencialmente críticos, pudiendo provocar una indisponibilidad del sistema.

La solución requiere actualizar al SP indicado en la nota 3302162. Además, SAP ha documentado información adicional en la nota 3311360.

3283438 – OS command execution vulnerability in SAP Business Objects Business Intelligence Platform (Adaptive Job Server)

Vulnerabilidad que, debido a parámetros escapados incorrectamente en Unix, SAP Business Objects Business Intelligence Platform (Adaptive Job Server) permite que un atacante autenticado ejecute comandos arbitrarios a través de la red.

En caso de explotarse la vulnerabilidad, el atacante puede comprometer completamente la aplicación, causando un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación.

La solución propuesta por SAP pasa por actualizar al nivel de SP indicado en la nota 3283438, aunque también se describe un workaround que podemos aplicar para mitigar cuanto antes esta vulnerabilidad.

3296476 – Arbitrary Code Execution in SAP Solution Manage and ABAP managed systems (ST-PI)

Vulnerabilidad mediante la cual un atacante autenticado sin permisos de administración y con autorización de ejecución remota puede ejecutar una función de aplicación para realizar acciones que normalmente podría realizar.

Dependiendo de la función ejecutada, el atacante puede leer y modificar cualquier usuario o datos de la aplicación. Además, puede provocar una indisponibilidad de la aplicación pudiendo afectar tanto al solution manager como a los sistemas ABAP administrados.

Para solucionar esta vulnerabilidad debemos implementar la nota 3296476.

3294954 – Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform

Nueva vulnerabilidad por la que un atacante puede explotar un fallo en el programa SAPRSBRO, pudiendo sobrescribir los archivos del sistema.

En este ataque, no se pueden leer datos, pero se pueden sobrescribir archivos del sistema operativo potencialmente críticos, pudiendo provocar una indisponibilidad del sistema.

La solución requiere actualizar al SP indicado en la nota 3294954.

3296346 – Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform Additional CVE – CVE-2023-25618

Esta nota SAP trata dos vulnerabilidades:

Server Side Request Forgery (SSRF) CVE-2023-26459

En SAP NetWeaver AS ABAP y la plataforma ABAP, debido a controles de entrada incorrectos, un atacante autenticado como usuario no administrativo puede crear una solicitud que envía una petición a una URL arbitraria pudiendo revelar, modificar o hacer que información no sensible quede indisponible, lo que lleva a un bajo impacto en la Confidencialidad, Integridad y Disponibilidad.

Denial of Service (DoS) CVE-2023-25618

El servidor de aplicaciones SAP NetWeaver ABAP y la plataforma ABAP, tienen varias vulnerabilidades en una clase no utilizada para la gestión de errores en la que un atacante autenticado como usuario no administrativo, puede crear una solicitud con ciertos parámetros que consumirán los recursos del servidor lo suficiente como para que no esté disponible. No hay posibilidad de ver o modificar ninguna información.

Para resolver ambas vulnerabilidades, debemos actualizar hasta el nivel de SP indicado en la nota 3296346.

3275727 – Memory Corruption vulnerability in SAPOSCOL

Vulnerabilidad en SAPOSCOL que permite a un atacante no autenticado con acceso a la red al puerto del servidor asignado al servicio de inicio de SAP, enviar una solicitud manipulada que da como resultado un error de corrupción de memoria.

Este error se puede utilizar para revelar, pero no modificar, ninguna información técnica sobre el servidor. También puede hacer que un servicio en particular no esté disponible temporalmente.

La solución a esta vulnerabilidad consiste en actualizar a la versión e SAP Host Agent indicada en la nota 3275727.

En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

NoteCVETitlePriorityCVSS
3245526[CVE-2023-25616]Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC)
Hot News9.9
3252433[CVE-2023-23857]Improper Access Control in SAP NetWeaver AS for Java
Hot News9.9
3294595[CVE-2023-27269]Directory Traversal vulnerability in SAP NetWeaver AS for ABAP
and ABAP Platform
Hot News9.6
3302162[CVE-2023-27500]Directory Traversal vulnerability in SAP NetWeaver AS for ABAP
and ABAP Platform (SAPRSBRO Program)
 Hot News9.6
3283438[CVE-2023-25617]OS command execution vulnerability in SAP Business Objects Business Intelligence Platform (Adaptive Job Server)
Hot News9.0
3296476[CVE-2023-27893]Arbitrary Code Execution in SAP Solution Manage and ABAP managed systems (ST-PI)
High8.8
3294954[CVE-2023-27501]Directory Traversal vulnerability in SAP NetWeaver AS for ABAP
and ABAP Platform
High8.7
3296346[CVE-2023-26459]Multiple vulnerabilities in SAP NetWeaver AS for ABAP and ABAP Platform Additional CVE – CVE-2023-25618
High7.4
3275727[CVE-2023-27498]Memory Corruption vulnerability in SAPOSCOL
High7.2
3284550[CVE-2023-26461]XXE vulnerability in SAP NetWeaver (SAP Enterprise Portal)
Medium6.8
3289844[CVE-2023-25615]SQL Injection vulnerability in ABAP Platform
Medium6.8
3296328[CVE-2023-27270]Denial of Service (DoS) in SAP NetWeaver AS for ABAP and ABAP Platform
Medium6.5
3287120CVE-2023-27271, CVE-2023-27896, CVE-2023-27894]Multiple vulnerabilities in the SAP BusinessObjects Business Intelligence platform CVEs
Medium6.5
3281484[CVE-2023-26457]Cross-Site Scripting (XSS) vulnerability in SAP Content Server
Medium6.1
3302710[CVE-2023-27895]Information Disclosure vulnerability in SAP Authenticator for
Android

Medium
6.1
3274920[CVE-2023-0021]Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver
Medium6.1
3288480[CVE-2023-27268]Missing Authentication and Authorization check in SAP NetWeaver AS Java (Object Analyzing Service)
Medium5.3
3288096[CVE-2023-26460]Missing Authentication check in SAP NetWeaver AS for Java (Cache Management Service)
Medium5.3
3288394[CVE-2023-24526]Improper Access Control in SAP NetWeaver AS Java (Classload Service)Medium5.3

Este mes SAP ha liberado 19 notas de seguridad de las cuales 5 tienen una puntuación CVSS por encima de 9.

 LOWMEDIUMHIGHHOT NEWSTOTAL
Marzo0104519
Febrero0205126
Enero050512
TOTAL03591157

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

EneroFebreroMarzoTOTAL
Clickjacking   0
Code Injection2125
Cross-Site Scripting312419
Denial of Service  22
Improper authentication44210
Improper input validation13 4
Information Disclosure1135
Memory corruption  22
Missing Authorization Check 145
Missing input Validation   0
Missing XML Validation   0
Remote Code Execution2  2
Server Side Request Forgery   0
SQL Injection1  1
Otros26311
16282266

La diferencia de notas liberadas y vulnerabilidades, es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP, analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.

Artículos anteriores de este mismo año 2023:

ENERO 2023 – FEBRERO 2023 

Fuentes:

https://wiki.scn.sap.com/

https://launchpad.support.sap.com/#/securitynotes

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

https://cve.mitre.org/