Nuevamente traemos el análisis mensual de las notas de seguridad publicadas por SAP en el security patch day. Desde Oreka IT seguimos considerando importante continuar con la divulgación de estas actualizaciones ya que es la mejor forma de explicar la criticidad de mantener actualizadas las aplicaciones corporativas.
En cuanto al análisis cuantitativo, en esta nueva publicación del security patch day SAP ha publicado 12 notas, de las cuales 6 son de importancia high, y 3 de ellas han sido clasificadas como hot news.
Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.
A continuación, analizaremos estas 6 notas:
3243924 – Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform
En algunos workflows de SAP BusinessObjects BI Platform un atacante autenticado con privilegios bajos puede interceptar un objeto serializado en los parámetros y sustituirlo por uno serializado malicioso, lo que lleva a la deserialización de datos que no son de confianza. Pudiendo comprometer la Confidencialidad, Integridad y Disponibilidad del sistema.
Para resolver esta vulnerabilidad SAP a liberado un nuevo SP que se encuentra en la propia nota 3243924 en el apartado Support Package Patches, además SAP documenta un workaround que nos permite mitigar esta vulnerabilidad.
3249990 – Multiple Vulnerabilities in SQlite bundled with SAPUI5
El framework SAPUI5 usa SQLite < 3.39.2, que en ocasiones permite el desbordamiento de los límites del array. Esto podría ser explotado por un usuario a través de la red, lo que tiene un impacto considerable en la disponibilidad de las aplicaciones que usan SAPUI5.
Esta vulnerabilidad ha sido resuelta en las versiones de SAP UI5:
- 1.71.51
- 1.84.29
- 1.96.14
- 1.102.8
- 1.105.2
3239152 – Account hijacking through URL Redirection vulnerability in SAP Commerce login form
Vulnerabilidad por la que un atacante puede cambiar el contenido de una página de inicio de sesión de SAP Commerce a través de una URL manipulada. Pudiendo inyectar un código que les permita redirigir los envíos desde el formulario de inicio de sesión afectado a su propio servidor. Esto les permitiría robar credenciales y secuestrar cuentas. Un ataque exitoso podría comprometer la confidencialidad, integridad y disponibilidad del sistema.
3256571 – Multiple vulnerabilities in SAP NetWeaver Application Server ABAP and ABAP Platform
Debido a una validación de entrada insuficiente, SAP NetWeaver Application Server ABAP permite que un atacante con privilegios altos use una función remota para eliminar un archivo que de otro modo estaría restringido. En caso de explotar esta vulnerabilidad, un atacante puede comprometer completamente la integridad y disponibilidad de la aplicación.
SAP ha publicado la nota 3256571 que al implementarla nos permite resolver esta vulnerabilidad, así como un nuevo SP de SAP_BASIS donde se incluye esta corrección.
3226411 – Privilege escalation vulnerability in SAP SuccessFactors attachment API for Mobile Application
Debido a errores de configuración, las APIs de archivos adjuntos de SAP SuccessFactors permiten que un atacante con privilegios de usuario realice actividades con privilegios de administrador en la red. Estas APIs se utilizaron en la aplicación SF Mobile. En caso de conseguir explotar esta vulnerabilidad, el atacante puede leer/escribir archivos adjuntos. Comprometiendo así la confidencialidad e integridad de la aplicación.
Para resolver esta vulnerabilidad SAP a liberado una nueva versión de la aplicación para IOS y Android. Además, detallan los pasos a seguir para mitigar la vulnerabilidad de manera inmediata.
3263436 – Arbitrary Code Execution vulnerability in SAP 3D Visual Enterprise Author and SAP 3D Visual Enterprise Viewer
La nota 3263436 trata una vulnerabildad descubierta en las aplicaciones SAP 3D Visual Enterprise Author y SAP 3D Visual Enterprise Viewer, por la que, debido a un error en la gestión de memoria cuando la víctima abre un fichero no confiable se podría ejecutar código malicioso, con diferentes consecuencias, pudiendo obtener privilegios en el equipo o acceso a datos de la memoria.
Para resolverlo SAP a publicado nuevas versiones de la aplicación, que previenen esta vulnerabilidad.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Title | Component | Priority | CVSS |
| 3243924 | [CVE-2022-41203] | Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad) | BI-RA-WBI-FE | HotNews | 9,9 |
| 3249990 | [CVE-2021-20223] | Multiple Vulnerabilities in SQlite bundled with SAPUI5 | CA-UI5-VTK-VIT | HotNews | 9,8 |
| 3239152 | [CVE-2022-41204] | Account hijacking through URL Redirection vulnerability in SAP Commerce login form | CEC-COM-CPS | HotNews | 9,6 |
| 3256571 | [CVE-2022-41214] | Multiple vulnerabilities in SAP NetWeaver Application Server ABAP and ABAP Platform | BC-CTS-TMS | Correction with high priority | 8,7 |
| 3226411 | [CVE-2022-35291] | Privilege escalation vulnerability in SAP SuccessFactors attachment API for Mobile Application(Android & iOS) | LOD-SF-EC | Correction with high priority | 8,1 |
| 3263436 | [CVE-2022-41211] | Arbitrary Code Execution vulnerability in SAP 3D Visual Enterprise Author and SAP 3D Visual Enterprise Viewer | CA-VE-VEA | Correction with high priority | 7 |
| 3229987 | [CVE-2022-41259] | Denial of service (DOS) in SAP SQL Anywhere | BC-SYB-SQA | Correction with medium priority | 6,5 |
| 3260708 | [CVE-2022-41258] | Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP Financial Consolidation | EPM-BFC-TCL-ADM-SEC | Correction with medium priority | 6,5 |
| 3218159 | Insufficient Session Expiration in Central Fiori Launchpad | CA-FLP-FE-COR | Correction with medium priority | 6,1 | |
| 3238042 | [CVE-2022-41207] | URL Redirection vulnerability in SAP Biller Direct | FIN-FSCM-BD | Correction with medium priority | 6,1 |
| 3237251 | [CVE-2022-41205] | Code injection vulnerability in SAP GUI for Windows | BC-FES-GUI | Correction with medium priority | 5,5 |
| 3251202 | [CVE-2022-41215] | URL Redirection vulnerability in SAP NetWeaver ABAP Server and ABAP Platform | BC-MID-ICF | Correction with medium priority | 4,7 |
Este mes SAP ha liberado 12 notas de seguridad de las cuales 3 tienen una puntuación CVSS por encima de 9.
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | Mayo | Junio | Julio | Agosto | Septiembre | Octubre | Noviembre | TOTAL | |
| Clickjacking | 1 | 1 | 1 | 3 | ||||||||
| Code Injection | 2 | 1 | 3 | 1 | 2 | 9 | ||||||
| Cross-Site Scripting | 2 | 2 | 4 | 4 | 3 | 1 | 7 | 4 | 5 | 1 | 33 | |
| Denial of Service | 1 | 2 | 4 | 2 | 1 | 10 | ||||||
| Improper authentication | 1 | 1 | 2 | |||||||||
| Improper input validation | 2 | 1 | 1 | 1 | 2 | 5 | 12 | |||||
| Information Disclosure | 4 | 2 | 4 | 6 | 4 | 1 | 7 | 4 | 2 | 6 | 1 | 41 |
| Memory corruption | 1 | 1 | 1 | 2 | 5 | |||||||
| Missing Authorization Check | 1 | 1 | 5 | 1 | 1 | 1 | 6 | 2 | 1 | 19 | ||
| Missing input Validation | 1 | 1 | 2 | 4 | ||||||||
| Missing XML Validation | 3 | 3 | ||||||||||
| Remote Code Execution | 1 | 7 | 1 | 6 | 4 | 1 | 2 | 22 | ||||
| Server Side Request Forgery | 2 | 2 | 4 | |||||||||
| SQL Injection | 1 | 1 | ||||||||||
| Otros | 2 | 6 | 1 | 6 | 1 | 1 | 4 | 3 | 3 | 27 | ||
| 12 | 19 | 16 | 36 | 14 | 15 | 28 | 7 | 12 | 20 | 16 | 112 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Artículos anteriores de este mismo año 2022:
OCTUBRE 2022 – JUNIO 2022 – MAYO 2022 – ABRIL 2022 – MARZO 2022
