Retomamos el análisis de las notas de seguridad publicadas por SAP en el security patch day. Ya que desde Oreka IT seguimos considerando importante continuar con la divulgación de estas actualizaciones porque es la mejor forma de explicar la criticidad de mantener actualizadas las aplicaciones corporativas.

Comenzando con el análisis cuantitativo, en esta nueva publicación del security patch day SAP ha publicado 17 notas, de las cuales 8 son de importancia high, y 2 de ellas han sido clasificadas como hot news.

Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.

A continuación, analizaremos estas 8 notas:

3242933 – File path traversal vulnerability in SAP Manufacturing Execution

En la nota 3242933 SAP documenta la vulnerabilidad en SAP Manufacturing Execution que permite a un atacante aprovechar el campo de ruta de fichero para guardar ficheros en directorios arbitrarios del servidor remoto, pudiendo ser leído ese fichero y producirse una fuga de información.

Esta vulnerabilidad está presente desde las versiones ME 15.1.3 hasta la 15.4. Esta vulnerabilidad ya está cubierta en las versiones superiores a la 15.4, por lo tanto, esas versiones no requieren ser parcheadas.

En caso de vernos afectados la solución propuesta por SAP consiste en actualizar a una versión en la que esta vulnerabilidad esté resuelta, aunque también podemos seguir las recomendaciones del workaround indicadas en la nota a modo preventivo.

3239152 – Account hijacking through URL Redirection vulnerability in SAP Commerce login form

Importante vulnerabilidad en SAP commerce, ya que existe la posibilidad de que el login de SAP commerce sea manipulado mediante una URL y el atacante reciba las credenciales de las víctimas que tratan de iniciar sesión, pudiendo comprometer la confidencialidad, integridad y disponibilidad del sistema.

El atacante podría usar técnicas de phishing para distribuir la URL manipulada entre usuarios legítimos de la aplicación, si un usuario intentase acceder a SAP Commerce mediante esa URL estaría proporcionando sus datos de acceso al atacante.

Esta vulnerabilidad afecta a las instalaciones de SAP Commerce con OAuth activado, por defecto está activado.

A continuación, indicamos las versiones de SAP Commerce que han cubierto esta vulnerabilidad:

    SAP Commerce Cloud Patch Release 2205.4

    SAP Commerce Cloud Patch Release 2105.15

    SAP Commerce Cloud Patch Release 2011.25

    SAP Commerce Cloud Patch Release 2005.30

    SAP Commerce Cloud Patch Release 1905.46

Además, SAP documenta otras medidas que podemos tomar, cómo quitar la extensión OAuth de nuestra instalación y filtrar las peticiones sospechosas.

3229132 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Monitoring DB)

Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform, en la que se descubre que bajo ciertas condiciones un atacante autenticado como administrador puede ver credenciales del SO sin encriptar. Con estas credenciales se puede comprometer la disponibilidad e integridad del sistema.

La solución propuesta por SAP pasa por actualizar la aplicación a las versiones indicadas en la nota 3229132:

  • SBOP BI PLATFORM SERVERS 4.2 SP009 – Patch 1000
  • SBOP BI PLATFORM SERVERS 4.3 SP002 – patch 600
  • SBOP BI PLATFORM SERVERS 4.3 SP003 – Patch 0

3213507 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform

Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform, en la que se resuelve la vulnerabilidad CVE-2022-31596 por la que, en ciertas condiciones, un atacante autenticado cómo CMS administrator con altos privilegios en la red, puede acceder a BOE Monitoring database pudiendo obtener y modificar datos del sistema que deberían estar restringidos. Además, esta vulnerabilidad puede ser usada para impactar en la base de datos.

Mediante esta vulnerabilidad, el ataque puede tener un impacto bajo en confidencialidad, alto en integridad y bajo en disponibilidad.

La solución propuesta por SAP pasa por actualizar la aplicación a las versiones indicadas en la nota 3213507, aunque nuestra recomendación es actualizar a la última version disponible para cubrir otras vulnerabilidades como la recogida en la nota 3229132.

3232021 – Buffer Overflow in SAP SQL Anywhere and SAP IQ

SAP SQL Anywhere y los servidores SAP IQ database son vulnerables a un ataque remoto sin necesidad de autenticación, provocando una saturación (overflow) del buffer cuando el servidor esta en modo debugging. El impacto de esta vulnerabilidad es:

  • Leer y modificar datos no autorizados
  • Impacto directo en la disponibilidad del sistema

Como solución, SAP indica no utilizar el modo debug al menos hasta actualizar a las versiones indicadas en la nota 3232021, en las que se resuelve esta vulnerabilidad.

3239293 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (AdminTools/ Query Builder)

Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform, por la que bajo ciertas circunstancias las aplicaciones BOE Admin Tools y BOE SDK permiten a un atacante acceder a información que debería estar restringida.

Aconsejamos actualizar al último parche disponible para la versión de SBOP BI PLATFORM SERVERS que aplica a cada caso, ya que como estamos viendo en este artículo hay varias vulnerabilidades que han sido corregidas.

3245928, 3245929 – Multiple vulnerabilities in SAP 3D Visual Enterprise Viewer y SAP 3D Visual Enterprise Author

Notas que mejoran de forma notable la seguridad de las aplicaciones SAP 3D Visual Enterprise Viewer y SAP 3D Visual Enterprise Author, ya que en ellas se tratan vulnerabilidades que debido a problemas en la gestión de la memoria una víctima que abra un fichero manipulado puede verse afectada de múltiples maneras, en resumen, puede verse en los siguientes escenarios:

  • Ejecución arbitraria de código, que podría lanzar un payload. Pudiendo tener múltiples consecuencias.
  • Denegación de servicio, dejando indisponible la aplicación.

SAP recomienda actualizar a las versiones especificadas en las notas 3245928, 3245929.

En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

NoteCVETitleComponentPriorityCVSS
3242933[CVE-2022-39802]File path traversal vulnerability in SAP Manufacturing ExecutionMFG-MEHot News9.9
3239152[CVE-2022-41204]Account hijacking through URL Redirection vulnerability in SAP Commerce login formCEC-COM-CPSHot News9.6
3229132[CVE-2022-39013]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Program Objects)BI-BIP-ADMHigh8.2
3213507[CVE-2022-31596]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Monitoring DB)BI-BIP-ADMHigh8.2
3232021[CVE-2022-35292]Buffer Overflow in SAP SQL Anywhere and SAP IQBC-SYB-SQAHigh8.1
3239293[CVE-2022-39015]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (AdminTools/ Query Builder)BI-BIP-ADMHigh7.7
3245928[Multiple CVEs][Multiple CVEs] Multiple vulnerabilities in SAP 3D Visual Enterprise ViewerCA-VE-VEVHigh7.0
3245929[Multiple CVEs][Multiple CVEs] Multiple vulnerabilities in SAP 3D Visual Enterprise AuthorCA-VE-VEAHigh7.0
3233226[CVE-2022-35296]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Version Management System)BI-BIP-LCMMedium6.8
3049899[CVE-2022-35297]Stored Cross-Site Scripting (XSS) vulnerability in SAP Enable NowKM-SEN-MGRMedium6.5
3202523Related CVE – CVE-2021-41184Cross-Site Scripting (XSS) vulnerability in SAP CommerceCEC-COM-CPSMedium6.1
3211161[CVE-2022-39800]Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence Platform (BI LaunchPad)BI-BIP-INVMedium6.1
3213524[CVE-2022-32244]Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Commentary DB)BI-BIP-CMCMedium6.9
3229425[CVE-2022-41206]Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform / Analysis for OLAPBI-RA-AWBMedium5.4
3248384[CVE-2022-41210]Information Disclosure Vulnerability in SAP Customer Data Cloud (Gigya)CEC-PRO-GIYMedium4.9
3248970[CVE-2022-41209]Information Disclosure Vulnerability in SAP Customer Data Cloud (Gigya)CEC-PRO-GIYMedium4.9
3167342[CVE-2022-35226]Cross-Site Scripting (XSS) vulnerability in Data Services Management ConsoleEIM-DS-SVRMedium4.8

Este mes SAP ha liberado 17 notas de seguridad de las cuales 2 tienen una puntuación CVSS por encima de 9.

 LOWMEDIUMHIGHHOT NEWSTOTAL
Enero15219
Febrero163919
Marzo1101416
Abril2177733
Mayo 82414
Junio272112
Julio1205 26
Agosto 5117
Septiembre 66113
Octubre 96217
TOTAL8933530166

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

EneroFebreroMarzoAbrilMayoJunioJulioAgostoSeptiembreOctubreTOTAL
Clickjacking        112
Code Injection21 3 12   9
Cross-Site Scripting2244317 4532
Denial of Service 124  2   9
Improper authentication   1 1    2
Improper input validation21 1 12   7
Information Disclosure424641742640
Memory corruption 1  1    13
Missing Authorization Check115111621 19
Missing input Validation   1  1   2
Missing XML Validation   3      3
Remote Code Execution171641   222
Server Side Request Forgery     2   24
SQL Injection 1        1
Otros 2 616114324
1219163614152871220112

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.

Fuentes:

https://wiki.scn.sap.com/

https://launchpad.support.sap.com/#/securitynotes

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

https://cve.mitre.org/

Artículos anteriores de este mismo año 2022:

JUNIO 2022MAYO 2022ABRIL 2022MARZO 2022FEBRERO 2022