Continuando con nuestro esfuerzo por contar de una manera más cercana las últimas novedades en materia de seguridad de SAP, os traemos la última publicación del security patch day de mayo. Este mes SAP ha continuado trabajando en la ya famosa vulnerabilidad spring4shell detectada recientemente y de la que también estuvimos hablando la publicación de abril.
En cuanto al análisis cuantitativo de las notas publicadas, en esta ocasión SAP ha publicado 14 notas de seguridad de las cuales 6 son de importancia high o hot news, con una puntuación CVSS superior a 7. De las cuales 4 son actualizaciones de notas de seguridad ya publicadas.
A continuación, analizaremos estas 6 notas:
[CVE-2022-22965]Central Security Note for Remote Code Execution vulnerability associated with Spring Framework.
La nota 3170990 es la nota central que recopila todas las notas que SAP ha publicado relacionadas con la vulnerabilidad conocida como spring4shell, valorada con una puntuación CVE de 9.8, esta vulnerabilidad es de tipo RCE ya que en caso de ser explotada permite la ejecución de código remoto en nuestros sistemas.
Es importante revisar si nuestros sistemas se han visto afectados y actualizarlos con las nuevas versiones de software que resuelven esta vulnerabilidad.
En caso de darse las siguientes condiciones en nuestros sistemas, deberemos considerarlos vulnerables frente a la ejecución de código remoto:
- Aplicación Spring MVC o Spring WebFlux ejcutándose en JDK9+
- Apache Tomcat como contenedor de servlets
- Aplicación ejecutándose en Tomcat cómo desarrollo WAR, aunque por la naturaleza de la vulnerabilidad también podría afectar a los desarrollos jar
Asociadas a esta vulnerabilidad encontramos las siguientes notas, tratando cada una de ellas la vulnerabilidad en un producto SAP:
- 3170990: Nota central que recopila todas las notas con todas las actualizaciones e información desarrollada por SAP para resolver la vulnerabilidad spring4shell.
- 3189635: Trata la vulnerabilidad spring4shell aplicada a Customer Profitability Analytics, indica la versión de producto a la que debemos actualizar.
- 3171258: Trata la vulnerabilidad spring4shell aplicada a SAP Commerce, indicando para cada caso las versiones a las que debemos actualizar.
- 3189409: Trata la vulnerabilidad spring4shell aplicada a SAP Business One Cloud.
[CVE-2022-27656] Cross-Site Scripting (XSS) vulnerability in administration UI of SAP Webdispatcher and SAP Netweaver AS for ABAP and Java (ICM).
Vulnerabilidad de cross-site scripting (XSS) en la administración web del ICM en SAP Webdispatcher y SAP netweaver AS ABAP y JAVA. La nota 3145046 recopila toda la información proporcionada por SAP para resolver o mitigar esta vulnerabilidad.
Esta vulnerabilidad afecta en el caso de usar un acceso autenticado a la interfaz web del ICM de uno de los productos afectados.
SAP nos plantea una solución, basada en aplicar un SP stack kernel además de actualizar con las últimas versiones de los ficheros SAPWEBDISP.SAR y dw.sar que resuelven esta vulnerabilidad. Aunque por otra parte, si queremos disponer de una mitigación más inmediata nos proporciona hasta 3 workarounds diferentes para prevenir esta vulnerabilidad.
Como es habitual, en cualquier caso, SAP nos recomienda aplicar su solución a pesar de que hallamos aplicado alguno de los workaround propuestos.
[CVE-2022-28214] Central Management Server Information Disclosure in Business Intelligence Update.
La nota 2998510 trata esta vulnerabilidad que se da durante la actualización de SAP Business Enterprise Central Management Server (CMS), ya que las credenciales son mostradas en el log de eventos sysmon. Esta fuga de información puede comprometer la confidencialidad, integridad y disponibilidad del sistema.
En este momento SAP no dispone de una solución, pero será publicada en la nota 2998510, y listada en el apartado de descargas «Support Packages & Patches» correspondiente.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note# | Title | Priority | CVSS |
| 3170990 | [Update] [CVE-2022-22965] Central Security Note for Remote Code Execution vulnerability associated with Spring Framework | Hot News | 9.8 |
| 3189409 | [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP Business One Cloud | Hot News | 9.8 |
| 3171258 | [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP Commerce | Hot News | 9.8 |
| 3189635 | [CVE-2022-22965] Remote Code Execution vulnerability associated with Spring Framework used in SAP Customer Profitability Analytics | Hot News | 9.8 |
| 3145046 | [CVE-2022-27656] Cross-Site Scripting (XSS) vulnerability in administration UI of SAP Webdispatcher and SAP Netweaver AS for ABAP and Java (ICM) | High | 8.3 |
| 2998510 | [CVE-2022-28214] Central Management Server Information Disclosure in Business Intelligence Update | High | 7.8 |
| 3137191 | [Update] [CVE-2022-22541] Information Disclosure vulnerability in SAP BusinessObjects Platform | Medium | 6.8 |
| 3165801 | [CVE-2022-29611] Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform | Medium | 6.5 |
| 3164677 | [CVE-2022-29613] Information Disclosure vulnerability in SAP Employee Self Service(Fiori My Leave Request) | Medium | 6.5 |
| 3146336 | [CVE-2022-29610] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP | Medium | 5.4 |
| 3158188 | [CVE-2022-28774] Information Disclosure vulnerability in SAP Host Agent logfile | Medium | 5.3 |
| 3145702 | [CVE-2022-29616] Memory Corruption vulnerability in SAP Host Agent, SAP NetWeaver and ABAP Platform | Medium | 5.3 |
| 3124994 | [Update] [CVE-2022-22534] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver | Medium | 4.7 |
| 3165333 | [Update] [CVE-2022-28215] URL Redirection vulnerability in SAP NetWeaver ABAP Server and ABAP Platform | Medium | 4.7 |
Este mes SAP ha liberado 33 notas de seguridad de las cuales 7 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Enero | 1 | 5 | 2 | 1 | 9 |
| Febrero | 1 | 6 | 3 | 9 | 19 |
| Marzo | 1 | 10 | 1 | 4 | 16 |
| Abril | 2 | 17 | 7 | 7 | 33 |
| Mayo | 8 | 2 | 4 | 14 | |
| TOTAL | 5 | 46 | 15 | 25 | 91 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | Mayo | TOTAL | |
| Clickjacking | ||||||
| Code Injection | 2 | 1 | 3 | 6 | ||
| Cross-Site Scripting | 2 | 2 | 4 | 4 | 3 | 15 |
| Denial of Service | 1 | 2 | 4 | 7 | ||
| Improper authentication | 1 | 1 | ||||
| Improper input validation | 2 | 1 | 1 | 4 | ||
| Information Disclosure | 4 | 2 | 4 | 6 | 4 | 20 |
| Memory corruption | 1 | 1 | 2 | |||
| Missing Authorization Check | 1 | 1 | 5 | 1 | 1 | 9 |
| Missing input Validation | 1 | 1 | ||||
| Missing XML Validation | 3 | 3 | ||||
| Remote Code Execution | 1 | 7 | 1 | 6 | 4 | 19 |
| Server Side Request Forgery | ||||||
| SQL Injection | 1 | 1 | ||||
| Otros | 2 | 6 | 1 | 9 | ||
| 12 | 19 | 16 | 36 | 14 | 83 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Fuentes:
https://wiki.scn.sap.com/
https://cve.mitre.org/
