Volvemos, como cada mes, con el artículo escrito a partir de la liberación por parte del departamento de seguridad de SAP del “SAP Security Patch Day. Como siempre, intentaremos dar una visión más cercana de las vulnerabilidades encontradas en el mes y cómo aplicarlas en los sistemas. Sobre todo las de más criticidad, llamadas Hot News.
Este mes hay 15 notas de seguridad de las cuales 9 son de prioridad alta con una puntuación CVSS por encima de 7. De las 15 notas, 3 son actualizaciones de vulnerabilidades descubiertas en meses anteriores. De las 9 notas de prioridad alta, 7 han sido liberadas en el último mes y por tanto las más importantes para chequear si afectan o no a nuestros sistemas.
La vulnerabilidad más importante y la que tiene un 10 en la puntuación tiene que ver con el componente LM-SERVICE de la pila JAVA de Solution Manager y permite a un usuario acceder al sistema sin credenciales, comprometiendo el sistema y poniendo en riesgo la integridad y la disponibilidad del servicio. A continuación, os dejo la lista de vulnerabilidades que afecta a este punto:
Esta vulnerabilidad está presente en versiones por debajo del SP11 del Solution Manager y se solventa actualizando el componente LM-Service a la última versión.
Con una puntuación de 9.8 encontramos una vulnerabilidad que afecta a los sistemas SAP Data Service, que deberán de actualizar sus versiones para evitar la posibilidad de que un atacante ejecute código remoto por falta de validaciones o llegue a generar una denegación de servicios comprometiendo la disponibilidad del servicio.
Otra Hot New liberada con una puntuación de 9.1 aplica al add-on DMIS los sistemas ABAP y S/4HANA. Esta vulnerabilidad permite a un usuario autenticado inyectar código y cambiar el curso de la ejecución. Se solventa implementando la nota 2973735 o actualizando el componente.
También con un 9.1 encontramos otra vulnerabilidad que permite la escalada de privilegios poniendo en serio compromiso la confidencialidad, integridad y la disponibilidad de los sistemas NW JAVA y que afecta a las versiones 7.20, 7.30, 7.31, 7.40 y 7.50. Para solucionarlo, es necesario actualizar el componente SR-UI.
Para acabar con las Hot News, comentar que vuelven a la lista 2 vulnerabilidades encontradas con anterioridad. La primera Missing Authentication Check in SAP Solution Manager, liberada en el Patch day de marzo de 2020 al cual le dedicamos un artículo exclusivo y Cross-Site Scripting (XSS) in SAP NetWeaver (Knowledge Management) que comentamos en el artículo del patch day de agosto.
Además de las 6 vulnerabilidades comentadas, podéis ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:
En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 184 notas de seguridad de las cuales 34 tienes una puntuación CVSS por encima de 9 y 40 por encima de 7.
Notas de seguridad liberadas por SAP en 2020
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Enero | 1 | 6 | 7 | ||
| Febrero | 11 | 3 | 1 | 15 | |
| Marzo | 1 | 9 | 4 | 4 | 18 |
| Abril | 16 | 5 | 5 | 26 | |
| Mayo | 11 | 5 | 6 | 22 | |
| Junio | 12 | 4 | 2 | 18 | |
| Julio | 1 | 6 | 1 | 2 | 10 |
| Agosto | 8 | 6 | 2 | 16 | |
| Septiembre | 1 | 9 | 2 | 4 | 16 |
| Octubre | 1 | 11 | 7 | 2 | 21 |
| Noviembre | 6 | 3 | 6 | 15 | |
| TOTAL | 5 | 105 | 40 | 34 | 184 |
Desglose de notas liberadas por tipos de vulnerabilidades en lo que llevamos de año
Como siempre, solo queda recomendar pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.
Fuente:
