Desde Oreka IT continuamos actualizando nuestro artículo mensual con las últimas notas de seguridad liberadas por SAP, en este post analizamos las últimas notas de seguridad liberadas por SAP y las explicamos de la manera más sencilla posible.
En cuanto al análisis cuantitativo, en esta nueva publicación del security patch day, SAP ha publicado 24 notas, de las cuales 11 son de importancia high, y en esta ocasión 2 son sido clasificadas cómo hot news.
En esta ocasión queremos destacar la nota 3307833, ya que resuelve múltiples vulnerabilidades, además, algunas de ellas se han visto actualizadas y resueltas por esta nueva nota.
A continuación, analizaremos estas 11 notas:
3328495 – Multiple vulnerabilities associated with Reprise License Manager 14.2 component used with SAP 3D Visual Enterprise License Manager
La nota 3328495 recopila las múltiples vulnerabilidades que afectan al producto Reprise License Manager 14, el cual tiene varias vulnerabilidades relacionadas con la interfaz web.
Para resolver estas vulnerabilidades SAP indica que debemos actualizar a la versión 15.9.1-sap2 de SAP 3D Visual Enterprise License Manager, podemos acceder a esta actualización en el siguiente enlace.
Además, para poder mitigar estas vulnerabilidades mientras planeamos la actualización de este software, SAP define un workaround que podemos seguir. Estas indicaciones se encuentran en la nota 3328495.
3307833 – Information Disclosure vulnerabilities in SAP BusinessObjects Intelligence Platform
La nota 3307833 recopila la información de la vulnerabilidad CVE-2023-28762 por la que SAP BusinessObjects Business Intelligence permite que un atacante autenticado con privilegios de administrador obtenga el token de inicio de sesión de cualquier usuario o servidor de BI conectado a través de la red sin ninguna interacción del usuario. El atacante puede hacerse pasar por cualquier usuario pudiendo acceder y modificar datos. El atacante también puede hacer que el sistema no esté disponible parcial o totalmente.
La solución a esta vulnerabilidad consiste en actualizar SBOP BI PLATFORM a las versiones indicadas en la nota 3307833, además en el apartado de solución hay documentación adicional.
Es importante destacar que la nota 3307833, incluye correcciones de seguridad para vulnerabilidades antiguas de SAP BusinessObjects Business Intelligence, que se han visto actualizadas y requieren la implementación de la nota 3307833.
3317453 – Improper access control during application start-up in SAP AS NetWeaver JAVA
Vulnerabilidad en NW Application Server Java por la que un atacante no autenticado puede conectarse a una interfaz abierta y mediante una API abierta de nombres y directorios, instanciar un objeto que tiene métodos a los que se puede llamar sin autorización y autenticación adicionales. Una llamada posterior a uno de estos métodos puede leer o cambiar el estado de los servicios existentes sin ningún efecto sobre la disponibilidad.
Para resolver esta vulnerabilidad, debemos actualizar a las versiones de SP indicadas en la nota 3317453.
3323415 – Privilege escalation vulnerability in SAP IBP add-in for Microsoft Excel
El instalador de SAP IBP, el complemento para Microsoft Excel, permite que un atacante autenticado aplique cambios en el InstallScript que le permitan escalar privilegios y ejecutar código como administrador, pudiendo causar un alto impacto en la confidencialidad, integridad y disponibilidad del sistema.
Los usuarios que ya tienen el complemento instalado no se ven afectados por esta vulnerabilidad, sólo los que hagan nuevas instalaciones.
Esta vulnerabilidad ha sido resuelta en las versiones 2211.3.0, 2302.4.0 y superiores de Excel add-in.
3213507 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC)
Esta nota ha sido actualizada, ahora se encuentra incluida en la documentación de la nota 3307833, que hemos tratado en este mismo artículo.
Es importante destacar que la nota 3307833, incluye correcciones de seguridad para la vulnerabilidad CVE-2022-31596, y todos los clientes que tengan implementada la nota 3213507, deben implementarla.
3217303 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC)
Esta nota ha sido actualizada, ahora se encuentra incluida en la documentación de la nota 3307833, que hemos tratado en este mismo artículo.
Es importante destacar que la nota 3307833, incluye correcciones de seguridad para la vulnerabilidad CVE-2022-39014, y todos los clientes que tengan implementada la nota 3217303, deben implementarla.
3300624 – Memory Corruption vulnerability in SAP PowerDesigner (Proxy)
En SAP PowerDesigner, un atacante podría enviar una solicitud manipulada desde un host remoto a la máquina proxy y bloquear el servidor proxy, debido a una implementación incorrecta de la gestión de la memoria, lo que provoca una corrupción de la memoria. Esto puede causar un alto impacto en la disponibilidad de la aplicación.
Podemos resolver esta vulnerabilidad con la actualización 6.7 SP06 PL03 o superior de SAP PowerDesigner Proxy.
3320145 – Denial of service (DOS) in SAP Commerce
Debido al hecho de que SAP Commerce usa XStream, se podría evitar que los usuarios legítimos accedan a un servicio al finalizar la aplicación con un error de desbordamiento de pila. Esto tiene un impacto directo en la disponibilidad del sistema.
Para solucionar esta vulnerabilidad podemos actualizar al SP indicado en la nota 3320145.
3320467 – Information Disclosure vulnerability in SAP GUI for Windows
La nota 3320467 trata la vulnerabilidad con código CVE-2023-32113, por la que SAP GUI para Windows permitiría la creación de un acceso directo que, al ser usado por la víctima, obtener información de la autenticación de la víctima.
Dependiendo de las autorizaciones de la víctima, el atacante podría leer y modificar información potencialmente confidencial.
Esta vulnerabilidad afecta a versiones de SAPGUI 8.00 y SAPGUI 7.70, para resolverla debemos actualizar estas aplicaciones a la última versión disponible.
3321309 – Information Disclosure vulnerability in SAP Commerce (Backoffice)
Bajo ciertas condiciones, SAP Commerce Backoffice permite que un atacante acceda a la información a través de una solicitud POST manipulada que, de otro modo, estaría restringida, lo que afectaría la confidencialidad del sistema.
Debemos actualizar a las versiones de SAP Commerce indicadas en la nota 3321309.
3326210 – Improper Neutralization of Input in SAPUI5
Debido a la neutralización incorrecta de la entrada en SAPUI5, se podría realizar una inyección de código CSS, pudiendo bloquear la interacción del usuario con la aplicación y permitiendo al atacante a leer o modificar la información del usuario a través de un ataque de phishing.
Debemos actualizar a las versiones de SAPUI5 indicadas en la nota 3326210.
En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Title | Priority | CVSS |
| 3328495 | Multiple CVEs | Multiple vulnerabilities associated with Reprise License Manager 14.2 component used with SAP 3D Visual Enterprise License Manager | Hot News | 9.8 |
| 3307833 | [CVE-2023-28762] | Information Disclosure vulnerabilities in SAP BusinessObjects Intelligence Platform | Hot News | 9.1 |
| 3317453 | [CVE-2023-30744] | Improper access control during application start-up in SAP AS NetWeaver JAVA | High | 8.2 |
| 3323415 | [CVE-2023-29080] | Privilege escalation vulnerability in SAP IBP add-in for Microsoft Excel | High | 8.2 |
| 3213507 | [Update][CVE-2022-31596] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC) | High | 8.2 |
| 3217303 | [Update][CVE-2022-39014] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC) | High | 7.7 |
| 3300624 | [CVE-2023-32111] | Memory Corruption vulnerability in SAP PowerDesigner (Proxy) | High | 7.5 |
| 3320145 | [CVE-2022-41966] | Denial of service (DOS) in SAP Commerce Related CVE – CVE-2022-41966 | High | 7.5 |
| 3320467 | [CVE-2023-32113] | Information Disclosure vulnerability in SAP GUI for Windows | High | 7.5 |
| 3321309 | [CVE-2023-32111] | Information Disclosure vulnerability in SAP Commerce (Backoffice) Related CVE – CVE-2023-32111 | High | 7.5 |
| 3326210 | [CVE-2023-30743] | Improper Neutralization of Input in SAPUI5 | High | 7.1 |
| 3233226 | [Update][CVE-2022-32244] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Commentary DB) | Medium | 6.8 |
| 3313484 | [CVE-2023-30740] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence platform | Medium | 6.3 |
| 3309935 | [CVE-2023-30741] | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform | Medium | 6.1 |
| 3315971 | [CVE-2023-30742] | Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI) | Medium | 6.1 |
| 3319400 | [CVE-2023-31406] | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform | Medium | 6.1 |
| 3213524 | [Update][CVE-2022-32244] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Commentary DB) | Medium | 6.0 |
| 3312892 | [CVE-2023-31407] | Cross-Site Scripting (XSS) vulnerability in SAP Business Planning and Consolidation | Medium | 5.4 |
| 3315979 | [CVE-2023-29188] | Cross-Site Scripting (XSS) vulnerability in SAP CRM WebClient UI | Medium | 5.4 |
| 3145769 | [Update][CVE-2022- 27667] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC) | Medium | 5.3 |
| 3038911 | [CVE-2023-31404] | Information Disclosure in SAP BusinessObjects Business Intelligence Platform (Central Management Service) | Medium | 5.0 |
| 3302595 | [CVE-2023-28764] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence platform | Low | 3.7 |
| 3117978 | [Update][CVE-2023-29111] | Information Disclosure vulnerability in SAP Application Interface Framework (ODATA service) | Low | 3.1 |
| 2335198 | [CVE-2023-32112] | Missing Authorization Check in Vendor Master Hierarchy | Low | 2.8 |
Este mes SAP ha liberado 24 notas de seguridad de las cuales 2 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Mayo | 3 | 10 | 9 | 2 | 24 |
| Abril | 3 | 15 | 1 | 5 | 24 |
| Marzo | 0 | 10 | 4 | 5 | 19 |
| Febrero | 0 | 20 | 5 | 1 | 26 |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 6 | 60 | 19 | 18 | 105 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | Mayo | TOTAL | |
| Clickjacking | 0 | |||||
| Code Injection | 2 | 1 | 2 | 4 | 9 | |
| Cross-Site Scripting | 3 | 12 | 4 | 1 | 5 | 25 |
| Denial of Service | 2 | 2 | 1 | 5 | ||
| Improper authentication | 4 | 4 | 2 | 3 | 1 | 14 |
| Improper input validation | 1 | 3 | 1 | 2 | 7 | |
| Information Disclosure | 1 | 1 | 3 | 3 | 12 | 20 |
| Memory corruption | 2 | 1 | 3 | |||
| Missing Authorization Check | 1 | 4 | 5 | 1 | 11 | |
| Missing input Validation | 0 | |||||
| Missing XML Validation | 0 | |||||
| Remote Code Execution | 2 | 2 | 4 | |||
| Server Side Request Forgery | 0 | |||||
| SQL Injection | 1 | 1 | ||||
| Otros | 2 | 6 | 3 | 6 | 3 | 20 |
| 16 | 28 | 22 | 27 | 26 | 119 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Artículos anteriores de este mismo año 2023:
ENERO 2023 – FEBRERO 2023 – MARZO 2023 – ABRIL 2023
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
