Retomamos el análisis de las notas de seguridad publicadas por SAP en el security patch day. Ya que desde Oreka IT seguimos considerando importante continuar con la divulgación de estas actualizaciones porque es la mejor forma de explicar la criticidad de mantener actualizadas las aplicaciones corporativas.
Comenzando con el análisis cuantitativo, en esta nueva publicación del security patch day SAP ha publicado 17 notas, de las cuales 8 son de importancia high, y 2 de ellas han sido clasificadas como hot news.
Estas vulnerabilidades nos recuerdan la importancia de mantener nuestras aplicaciones corporativas actualizadas.
A continuación, analizaremos estas 8 notas:
3242933 – File path traversal vulnerability in SAP Manufacturing Execution
En la nota 3242933 SAP documenta la vulnerabilidad en SAP Manufacturing Execution que permite a un atacante aprovechar el campo de ruta de fichero para guardar ficheros en directorios arbitrarios del servidor remoto, pudiendo ser leído ese fichero y producirse una fuga de información.
Esta vulnerabilidad está presente desde las versiones ME 15.1.3 hasta la 15.4. Esta vulnerabilidad ya está cubierta en las versiones superiores a la 15.4, por lo tanto, esas versiones no requieren ser parcheadas.
En caso de vernos afectados la solución propuesta por SAP consiste en actualizar a una versión en la que esta vulnerabilidad esté resuelta, aunque también podemos seguir las recomendaciones del workaround indicadas en la nota a modo preventivo.
3239152 – Account hijacking through URL Redirection vulnerability in SAP Commerce login form
Importante vulnerabilidad en SAP commerce, ya que existe la posibilidad de que el login de SAP commerce sea manipulado mediante una URL y el atacante reciba las credenciales de las víctimas que tratan de iniciar sesión, pudiendo comprometer la confidencialidad, integridad y disponibilidad del sistema.
El atacante podría usar técnicas de phishing para distribuir la URL manipulada entre usuarios legítimos de la aplicación, si un usuario intentase acceder a SAP Commerce mediante esa URL estaría proporcionando sus datos de acceso al atacante.
Esta vulnerabilidad afecta a las instalaciones de SAP Commerce con OAuth activado, por defecto está activado.
A continuación, indicamos las versiones de SAP Commerce que han cubierto esta vulnerabilidad:
SAP Commerce Cloud Patch Release 2205.4
SAP Commerce Cloud Patch Release 2105.15
SAP Commerce Cloud Patch Release 2011.25
SAP Commerce Cloud Patch Release 2005.30
SAP Commerce Cloud Patch Release 1905.46
Además, SAP documenta otras medidas que podemos tomar, cómo quitar la extensión OAuth de nuestra instalación y filtrar las peticiones sospechosas.
3229132 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Monitoring DB)
Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform, en la que se descubre que bajo ciertas condiciones un atacante autenticado como administrador puede ver credenciales del SO sin encriptar. Con estas credenciales se puede comprometer la disponibilidad e integridad del sistema.
La solución propuesta por SAP pasa por actualizar la aplicación a las versiones indicadas en la nota 3229132:
- SBOP BI PLATFORM SERVERS 4.2 SP009 – Patch 1000
- SBOP BI PLATFORM SERVERS 4.3 SP002 – patch 600
- SBOP BI PLATFORM SERVERS 4.3 SP003 – Patch 0
3213507 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform
Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform, en la que se resuelve la vulnerabilidad CVE-2022-31596 por la que, en ciertas condiciones, un atacante autenticado cómo CMS administrator con altos privilegios en la red, puede acceder a BOE Monitoring database pudiendo obtener y modificar datos del sistema que deberían estar restringidos. Además, esta vulnerabilidad puede ser usada para impactar en la base de datos.
Mediante esta vulnerabilidad, el ataque puede tener un impacto bajo en confidencialidad, alto en integridad y bajo en disponibilidad.
La solución propuesta por SAP pasa por actualizar la aplicación a las versiones indicadas en la nota 3213507, aunque nuestra recomendación es actualizar a la última version disponible para cubrir otras vulnerabilidades como la recogida en la nota 3229132.
3232021 – Buffer Overflow in SAP SQL Anywhere and SAP IQ
SAP SQL Anywhere y los servidores SAP IQ database son vulnerables a un ataque remoto sin necesidad de autenticación, provocando una saturación (overflow) del buffer cuando el servidor esta en modo debugging. El impacto de esta vulnerabilidad es:
- Leer y modificar datos no autorizados
- Impacto directo en la disponibilidad del sistema
Como solución, SAP indica no utilizar el modo debug al menos hasta actualizar a las versiones indicadas en la nota 3232021, en las que se resuelve esta vulnerabilidad.
3239293 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (AdminTools/ Query Builder)
Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform, por la que bajo ciertas circunstancias las aplicaciones BOE Admin Tools y BOE SDK permiten a un atacante acceder a información que debería estar restringida.
Aconsejamos actualizar al último parche disponible para la versión de SBOP BI PLATFORM SERVERS que aplica a cada caso, ya que como estamos viendo en este artículo hay varias vulnerabilidades que han sido corregidas.
3245928, 3245929 – Multiple vulnerabilities in SAP 3D Visual Enterprise Viewer y SAP 3D Visual Enterprise Author
Notas que mejoran de forma notable la seguridad de las aplicaciones SAP 3D Visual Enterprise Viewer y SAP 3D Visual Enterprise Author, ya que en ellas se tratan vulnerabilidades que debido a problemas en la gestión de la memoria una víctima que abra un fichero manipulado puede verse afectada de múltiples maneras, en resumen, puede verse en los siguientes escenarios:
- Ejecución arbitraria de código, que podría lanzar un payload. Pudiendo tener múltiples consecuencias.
- Denegación de servicio, dejando indisponible la aplicación.
SAP recomienda actualizar a las versiones especificadas en las notas 3245928, 3245929.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | CVE | Title | Component | Priority | CVSS |
| 3242933 | [CVE-2022-39802] | File path traversal vulnerability in SAP Manufacturing Execution | MFG-ME | Hot News | 9.9 |
| 3239152 | [CVE-2022-41204] | Account hijacking through URL Redirection vulnerability in SAP Commerce login form | CEC-COM-CPS | Hot News | 9.6 |
| 3229132 | [CVE-2022-39013] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Program Objects) | BI-BIP-ADM | High | 8.2 |
| 3213507 | [CVE-2022-31596] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Monitoring DB) | BI-BIP-ADM | High | 8.2 |
| 3232021 | [CVE-2022-35292] | Buffer Overflow in SAP SQL Anywhere and SAP IQ | BC-SYB-SQA | High | 8.1 |
| 3239293 | [CVE-2022-39015] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (AdminTools/ Query Builder) | BI-BIP-ADM | High | 7.7 |
| 3245928 | [Multiple CVEs] | [Multiple CVEs] Multiple vulnerabilities in SAP 3D Visual Enterprise Viewer | CA-VE-VEV | High | 7.0 |
| 3245929 | [Multiple CVEs] | [Multiple CVEs] Multiple vulnerabilities in SAP 3D Visual Enterprise Author | CA-VE-VEA | High | 7.0 |
| 3233226 | [CVE-2022-35296] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Version Management System) | BI-BIP-LCM | Medium | 6.8 |
| 3049899 | [CVE-2022-35297] | Stored Cross-Site Scripting (XSS) vulnerability in SAP Enable Now | KM-SEN-MGR | Medium | 6.5 |
| 3202523 | Related CVE – CVE-2021-41184 | Cross-Site Scripting (XSS) vulnerability in SAP Commerce | CEC-COM-CPS | Medium | 6.1 |
| 3211161 | [CVE-2022-39800] | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence Platform (BI LaunchPad) | BI-BIP-INV | Medium | 6.1 |
| 3213524 | [CVE-2022-32244] | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Commentary DB) | BI-BIP-CMC | Medium | 6.9 |
| 3229425 | [CVE-2022-41206] | Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform / Analysis for OLAP | BI-RA-AWB | Medium | 5.4 |
| 3248384 | [CVE-2022-41210] | Information Disclosure Vulnerability in SAP Customer Data Cloud (Gigya) | CEC-PRO-GIY | Medium | 4.9 |
| 3248970 | [CVE-2022-41209] | Information Disclosure Vulnerability in SAP Customer Data Cloud (Gigya) | CEC-PRO-GIY | Medium | 4.9 |
| 3167342 | [CVE-2022-35226] | Cross-Site Scripting (XSS) vulnerability in Data Services Management Console | EIM-DS-SVR | Medium | 4.8 |
Este mes SAP ha liberado 17 notas de seguridad de las cuales 2 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Enero | 1 | 5 | 2 | 1 | 9 |
| Febrero | 1 | 6 | 3 | 9 | 19 |
| Marzo | 1 | 10 | 1 | 4 | 16 |
| Abril | 2 | 17 | 7 | 7 | 33 |
| Mayo | 8 | 2 | 4 | 14 | |
| Junio | 2 | 7 | 2 | 1 | 12 |
| Julio | 1 | 20 | 5 | 26 | |
| Agosto | 5 | 1 | 1 | 7 | |
| Septiembre | 6 | 6 | 1 | 13 | |
| Octubre | 9 | 6 | 2 | 17 | |
| TOTAL | 8 | 93 | 35 | 30 | 166 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | Abril | Mayo | Junio | Julio | Agosto | Septiembre | Octubre | TOTAL | |
| Clickjacking | 1 | 1 | 2 | ||||||||
| Code Injection | 2 | 1 | 3 | 1 | 2 | 9 | |||||
| Cross-Site Scripting | 2 | 2 | 4 | 4 | 3 | 1 | 7 | 4 | 5 | 32 | |
| Denial of Service | 1 | 2 | 4 | 2 | 9 | ||||||
| Improper authentication | 1 | 1 | 2 | ||||||||
| Improper input validation | 2 | 1 | 1 | 1 | 2 | 7 | |||||
| Information Disclosure | 4 | 2 | 4 | 6 | 4 | 1 | 7 | 4 | 2 | 6 | 40 |
| Memory corruption | 1 | 1 | 1 | 3 | |||||||
| Missing Authorization Check | 1 | 1 | 5 | 1 | 1 | 1 | 6 | 2 | 1 | 19 | |
| Missing input Validation | 1 | 1 | 2 | ||||||||
| Missing XML Validation | 3 | 3 | |||||||||
| Remote Code Execution | 1 | 7 | 1 | 6 | 4 | 1 | 2 | 22 | |||
| Server Side Request Forgery | 2 | 2 | 4 | ||||||||
| SQL Injection | 1 | 1 | |||||||||
| Otros | 2 | 6 | 1 | 6 | 1 | 1 | 4 | 3 | 24 | ||
| 12 | 19 | 16 | 36 | 14 | 15 | 28 | 7 | 12 | 20 | 112 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Artículos anteriores de este mismo año 2022:
JUNIO 2022 – MAYO 2022 – ABRIL 2022 – MARZO 2022 – FEBRERO 2022
