Desde Oreka IT continuamos actualizando nuestro artículo mensual con las últimas notas de seguridad liberadas por SAP, en este post analizamos las últimas notas de seguridad liberadas por SAP y las explicamos de la manera más sencilla posible.

En cuanto al análisis cuantitativo, en esta nueva publicación del security patch day, SAP ha publicado 24 notas, de las cuales 11 son de importancia high, y en esta ocasión 2 son sido clasificadas cómo hot news.

En esta ocasión queremos destacar la nota 3307833, ya que resuelve múltiples vulnerabilidades, además, algunas de ellas se han visto actualizadas y resueltas por esta nueva nota.

A continuación, analizaremos estas 11 notas:

3328495 – Multiple vulnerabilities associated with Reprise License Manager 14.2 component used with SAP 3D Visual Enterprise License Manager

La nota 3328495 recopila las múltiples vulnerabilidades que afectan al producto Reprise License Manager 14, el cual tiene varias vulnerabilidades relacionadas con la interfaz web.

Para resolver estas vulnerabilidades SAP indica que debemos actualizar a la versión 15.9.1-sap2 de SAP 3D Visual Enterprise License Manager, podemos acceder a esta actualización en el siguiente enlace.

Además, para poder mitigar estas vulnerabilidades mientras planeamos la actualización de este software, SAP define un workaround que podemos seguir. Estas indicaciones se encuentran en la nota 3328495.

3307833 – Information Disclosure vulnerabilities in SAP BusinessObjects Intelligence Platform

La nota 3307833 recopila la información de la vulnerabilidad CVE-2023-28762 por la que SAP BusinessObjects Business Intelligence permite que un atacante autenticado con privilegios de administrador obtenga el token de inicio de sesión de cualquier usuario o servidor de BI conectado a través de la red sin ninguna interacción del usuario. El atacante puede hacerse pasar por cualquier usuario pudiendo acceder y modificar datos. El atacante también puede hacer que el sistema no esté disponible parcial o totalmente.

La solución a esta vulnerabilidad consiste en actualizar SBOP BI PLATFORM a las versiones indicadas en la nota 3307833, además en el apartado de solución hay documentación adicional.

Es importante destacar que la nota 3307833, incluye correcciones de seguridad para vulnerabilidades antiguas de SAP BusinessObjects Business Intelligence, que se han visto actualizadas y requieren la implementación de la nota 3307833.

3317453 – Improper access control during application start-up in SAP AS NetWeaver JAVA

Vulnerabilidad en NW Application Server Java por la que un atacante no autenticado puede conectarse a una interfaz abierta y mediante una API abierta de nombres y directorios, instanciar un objeto que tiene métodos a los que se puede llamar sin autorización y autenticación adicionales. Una llamada posterior a uno de estos métodos puede leer o cambiar el estado de los servicios existentes sin ningún efecto sobre la disponibilidad.

Para resolver esta vulnerabilidad, debemos actualizar a las versiones de SP indicadas en la nota 3317453.

3323415 – Privilege escalation vulnerability in SAP IBP add-in for Microsoft Excel

El instalador de SAP IBP, el complemento para Microsoft Excel, permite que un atacante autenticado aplique cambios en el InstallScript que le permitan escalar privilegios y ejecutar código como administrador, pudiendo causar un alto impacto en la confidencialidad, integridad y disponibilidad del sistema.

Los usuarios que ya tienen el complemento instalado no se ven afectados por esta vulnerabilidad, sólo los que hagan nuevas instalaciones.

Esta vulnerabilidad ha sido resuelta en las versiones 2211.3.0, 2302.4.0 y superiores de Excel add-in.

3213507 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC)

Esta nota ha sido actualizada, ahora se encuentra incluida en la documentación de la nota 3307833, que hemos tratado en este mismo artículo.

Es importante destacar que la nota 3307833, incluye correcciones de seguridad para la vulnerabilidad CVE-2022-31596, y todos los clientes que tengan implementada la nota 3213507, deben implementarla.

3217303 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC)

Esta nota ha sido actualizada, ahora se encuentra incluida en la documentación de la nota 3307833, que hemos tratado en este mismo artículo.

Es importante destacar que la nota 3307833, incluye correcciones de seguridad para la vulnerabilidad CVE-2022-39014, y todos los clientes que tengan implementada la nota 3217303, deben implementarla.

3300624 – Memory Corruption vulnerability in SAP PowerDesigner (Proxy)

En SAP PowerDesigner, un atacante podría enviar una solicitud manipulada desde un host remoto a la máquina proxy y bloquear el servidor proxy, debido a una implementación incorrecta de la gestión de la memoria, lo que provoca una corrupción de la memoria. Esto puede causar un alto impacto en la disponibilidad de la aplicación.

Podemos resolver esta vulnerabilidad con la actualización 6.7 SP06 PL03 o superior de SAP PowerDesigner Proxy.

3320145 – Denial of service (DOS) in SAP Commerce

Debido al hecho de que SAP Commerce usa XStream, se podría evitar que los usuarios legítimos accedan a un servicio al finalizar la aplicación con un error de desbordamiento de pila. Esto tiene un impacto directo en la disponibilidad del sistema.

Para solucionar esta vulnerabilidad podemos actualizar al SP indicado en la nota 3320145.

3320467 – Information Disclosure vulnerability in SAP GUI for Windows

La nota 3320467 trata la vulnerabilidad con código CVE-2023-32113, por la que SAP GUI para Windows permitiría la creación de un acceso directo que, al ser usado por la víctima, obtener información de la autenticación de la víctima.

Dependiendo de las autorizaciones de la víctima, el atacante podría leer y modificar información potencialmente confidencial.

Esta vulnerabilidad afecta a versiones de SAPGUI 8.00 y SAPGUI 7.70, para resolverla debemos actualizar estas aplicaciones a la última versión disponible.

3321309 – Information Disclosure vulnerability in SAP Commerce (Backoffice)

Bajo ciertas condiciones, SAP Commerce Backoffice permite que un atacante acceda a la información a través de una solicitud POST manipulada que, de otro modo, estaría restringida, lo que afectaría la confidencialidad del sistema.

Debemos actualizar a las versiones de SAP Commerce indicadas en la nota 3321309.

3326210 – Improper Neutralization of Input in SAPUI5

Debido a la neutralización incorrecta de la entrada en SAPUI5, se podría realizar una inyección de código CSS, pudiendo bloquear la interacción del usuario con la aplicación y permitiendo al atacante a leer o modificar la información del usuario a través de un ataque de phishing.

Debemos actualizar a las versiones de SAPUI5 indicadas en la nota 3326210.

En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

NoteCVETitlePriorityCVSS
3328495Multiple CVEsMultiple vulnerabilities associated with Reprise License Manager 14.2 component used with SAP 3D Visual Enterprise License ManagerHot News9.8
3307833[CVE-2023-28762]Information Disclosure vulnerabilities in SAP BusinessObjects Intelligence PlatformHot News9.1
3317453[CVE-2023-30744]Improper access control during application start-up in SAP AS NetWeaver JAVAHigh8.2
3323415[CVE-2023-29080]Privilege escalation vulnerability in SAP IBP add-in for Microsoft ExcelHigh8.2
3213507[Update][CVE-2022-31596]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC)High8.2
3217303[Update][CVE-2022-39014]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC)High7.7
3300624[CVE-2023-32111]Memory Corruption vulnerability in SAP PowerDesigner (Proxy)High7.5
3320145[CVE-2022-41966]Denial of service (DOS) in SAP Commerce Related CVE – CVE-2022-41966High7.5
3320467[CVE-2023-32113]Information Disclosure vulnerability in SAP GUI for WindowsHigh7.5
3321309[CVE-2023-32111]Information Disclosure vulnerability in SAP Commerce (Backoffice) Related CVE – CVE-2023-32111High7.5
3326210[CVE-2023-30743]Improper Neutralization of Input in SAPUI5High7.1
3233226[Update][CVE-2022-32244]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Commentary DB)Medium6.8
3313484[CVE-2023-30740]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence platformMedium6.3
3309935[CVE-2023-30741]Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platformMedium6.1
3315971[CVE-2023-30742]Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)Medium6.1
3319400[CVE-2023-31406]Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platformMedium6.1
3213524[Update][CVE-2022-32244]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Commentary DB)Medium6.0
3312892[CVE-2023-31407]Cross-Site Scripting (XSS) vulnerability in SAP Business Planning and ConsolidationMedium5.4
3315979[CVE-2023-29188]Cross-Site Scripting (XSS) vulnerability in SAP CRM WebClient UIMedium5.4
3145769[Update][CVE-2022- 27667]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (CMC)Medium5.3
3038911[CVE-2023-31404]Information Disclosure in SAP BusinessObjects Business Intelligence Platform (Central Management Service)Medium5.0
3302595[CVE-2023-28764]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence platformLow3.7
3117978[Update][CVE-2023-29111]Information Disclosure vulnerability in SAP Application Interface Framework (ODATA service)Low3.1
2335198[CVE-2023-32112]Missing Authorization Check in Vendor Master HierarchyLow2.8

Este mes SAP ha liberado 24 notas de seguridad de las cuales 2 tienen una puntuación CVSS por encima de 9.

 LOWMEDIUMHIGHHOT NEWSTOTAL
Mayo3109224
Abril3151524
Marzo0104519
Febrero0205126
Enero050512
TOTAL6601918105

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

EneroFebreroMarzoAbrilMayoTOTAL
Clickjacking     0
Code Injection2124 9
Cross-Site Scripting31241525
Denial of Service  2215
Improper authentication4423114
Improper input validation13 127
Information Disclosure11331220
Memory corruption  2 13
Missing Authorization Check 145111
Missing input Validation     0
Missing XML Validation     0
Remote Code Execution2  2 4
Server Side Request Forgery     0
SQL Injection1    1
Otros2636320
1628222726119

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.

Artículos anteriores de este mismo año 2023:

ENERO 2023 – FEBRERO 2023 – MARZO 2023 – ABRIL 2023 

Fuentes:

https://wiki.scn.sap.com/

https://launchpad.support.sap.com/#/securitynotes

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

https://cve.mitre.org/