Un mes más, SAP publica su Security Patch Day resumiendo las últimas novedades relativas a la seguridad de sus productos, en este artículo las analizaremos y explicaremos de una manera sencilla.

Respecto al análisis cuantitativo, se han liberado un total de 14 notas de seguridad, de las cuales 4 son de prioridad alta con una puntuación CVSS superior a 7. En cuanto a actualizaciones de notas ya publicadas y liderando la lista, encontramos a la nota más repetida de este año, que es la 2622660. Nuevamente, SAP pone el foco en la nota que recopila la información sobre las actualizaciones del navegador Google Chromium integrado en SAP Business Client.

A continuación, analizaremos estas 4 notas:

Update to Security Note released on April 2018 Patch Day:

Un mes más SAP pone el foco en la nota 2622660, siendo la nota que lidera más publicaciones del Security Patch Day de este año. Nota que recopila las actualizaciones del navegador Google Chromium integrado en SAP Business Client. En este caso, el motivo de la actualización es la liberación de la versión 94.0.4606.54 de chromium, que resuelve 9 fallos de seguridad y en conjunto tiene una puntuación CVSS de 8.8 puntos. SAP ha actualizado la nota indicando las versiones de Business Client a las que aplica esta actualización.

Potential XML External Entity Injection Vulnerability in SAP Environmental Compliance:

La funcionalidad de importar datos de un Excel en SAP Enviromental Compliance 3.0 usa versiones de software open source con las vulnerabilidades CVE-2020-10683, BDSA-2017-0180, CVE-2021-23926. Por lo que esta funcionalidad supone un riesgo potencial de sufrir un XML External Entity Injection attack, que dicho de manera sencilla, es el hecho de cargar un fichero de Excel en SAP y al ser procesado producirse un riesgo importante ya que se podría ejecutar código contenido en el fichero Excel poniendo en riesgo la seguridad del sistema. Tanto es así, que cuenta con una puntuación CVSS de 9.8.

Podemos resolver esta vulnerabilidad siguiendo los pasos descritos en la nota 3079992, para implementar una actualización del support package que nos corresponda en cada caso particular.

Improper Authorization in SAP NetWeaver AS ABAP and ABAP Platform:

Un usuario malicioso con permisos de desarrollador y administrador podría usar herramientas del sistema logístico de software, en el cual no se realizan los chequeos de autorización necesarios. Pudiendo llegar a transportar código ABAP malicioso hasta producción y comprometer la confidencialidad, integridad y disponibilidad del sistema.

La solución pasa por implementar la nota 3097887, que inhabilita el report RDDIT076. Este es un report estándar de SAP que la mayoría de administradores de BASIS han usado alguna vez, ya que es la manera más fácil de modificar una orden ya liberada. Además, especifican que en futuras versiones eliminarán este report.

Denial of service (DOS) in the SAP SuccessFactors Mobile Application for Android devices:

Vulnerabilidad identificada en la aplicación Android de SAP SuccessFactors, que permitiría a un atacante evitar el acceso al servicio provocando que la aplicación falle o desbordando el servicio lo que terminaría en una denegación de servicio.

La vulnerabilidad se debe al uso de métodos propios de Android que están embebidos en la aplicación SAP SuccessFactors, durante su ejecución estos métodos pueden interactuar con otras aplicaciones en segundo plano y obtener información, por lo que además podría resultar en phishing. Es decir, en el acceso a la información de la aplicación SAP SuccessFactors.

Las versiones vulnerables son las previas a la versión 2108, para evitar este riesgo, las organizaciones deben descargar la última versión de SAP SuccessFactor para Android.

En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:

En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 155 notas de seguridad de las cuales 35 tienen una puntuación CVSS por encima de 9 y 61 por encima de 7.

El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:

La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.

Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que se apliquen a los sistemas de cada empresa. ¡No dudes en ponerte en contacto con nosotros o exponer tus dudas en los comentarios!


Fuentes:

https://wiki.scn.sap.com/

https://cve.mitre.org/