Continuando con nuestro empeño en divulgar las últimas actualizaciones de seguridad SAP disponibles, traemos un nuevo post con el resumen del último Security Patch Day publicado por SAP.
Comenzando con el análisis cuantitativo, en esta ocasión, SAP ha publicado 17 notas, de las cuales 2 son de importancia high, 4 son hot news.
En esta ocasión, queremos destacar las notas 3340576 y 3327896, ambas sobre una vulnerabilidad en el módulo CommonCryptoLib, y que se resuelven con una actualización de kernel, afectando a una cantidad importante de productos SAP por lo que es muy probable que los clientes se vean afectados.
2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client
SAP continúa actualizando la nota 2622660, una nota ya conocida por todos que recopila las últimas actualizaciones del navegador basado en Chromium integrado en SAP Business Client.
En esta actualización, SAP mantiene al día las versiones de SAP Business Client con las múltiples vulnerabilidades que se parchean en cada nueva versión de Chromium, por lo que es muy recomendable mantener actualizada la versión de SAP Bussines Client que estemos utilizando.
En esta ocasión incluye la nueva versión de SAP Business Client 7.70 PL25 y PL23 incluye la nueva versión 116 de Chromium.
3320355 – Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management)
La plataforma SAP BusinessObjects BI bajo ciertas condiciones permite a un atacante autenticado ver información confidencial que de otro modo estaría restringida. En caso de explotación exitosa, el atacante puede comprometer completamente la aplicación y causar un gran impacto en la confidencialidad, la integridad y la disponibilidad.
En la nota 3320355 SAP indica las versiones de SP de los componentes SBOP BI PLATFORM SERVERS 4.3 y SBOP BI PLATFORM SERVERS 4.2 que resuelven esa vulnerabilidad.
3245526 – Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC)
Actualizacion de una vulnerabilidad en SAP Business Objects Intelligence Platform, que tratamos en el Securiy Patch Day de marzo.
Vulnerabilidad por la que mediante una inyección de código se podría permitir que un atacante obtenga acceso a los recursos permitidos con privilegios adicionales. Un ataque exitoso podría tener un gran impacto en la confidencialidad, la integridad y la disponibilidad del sistema.
Como mitigación inmediata SAP nos presenta el workaround definido en la nota 3245526, aunque la solución recomendada es actualizar hasta el nivel de SP documentado en esta misma nota y que cubren esta vulnerabilidad.
3340576 – Missing Authorization check in SAP CommonCryptoLib
SAP CommonCryptoLib no realiza las comprobaciones de autenticación necesarias, lo que puede dar como resultado comprobaciones de autorización inexistentes o incorrectas para un usuario autenticado, lo que resulta en una escalada de privilegios. Dependiendo de la aplicación y del nivel de privilegios adquiridos, un atacante podría abusar de la funcionalidad restringida a un grupo de usuarios en particular, así como leer, modificar o eliminar datos restringidos.
Esta vulnerabilidad afecta a los siguientes productos de SAP:
- SAP CommonCryptoLib, Versions – 8
- SAP NetWeaver AS ABAP, SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise, Versions – KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KERNEL 7.22, KERNEL 8.04, KERNEL64UC 7.22, KERNEL64UC 7.22EXT, KERNEL64UC 7.53, KERNEL64UC 8.04, KERNEL64NUC 7.22, KERNEL64NUC 7.22EXT
- SAP Web Dispatcher, Versions – 7.22EXT, 7.53, 7.54, 7.77, 7.85, 7.89
- SAP Content Server, Versions – 6.50, 7.53, 7.54
- SAP HANA Database, Versions – 2.0
- SAP Host Agent, Versions – 722
- SAP Extended Application Services and Runtime (XSA), Versions – SAP_EXTENDED_APP_SERVICES 1, XS_ADVANCED_RUNTIME 1.00 Product – SAPSSOEXT, Versions – 17
Para resolver la vulnerabilidad, debemos aplicar la última versión de kernel disponible o aplicar el hotfix dw_utils.sar.
3370490 – Insufficient File type validation in SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface)
Vulnerabilidad en la plataforma SAP BusinessObjects BI (interfaz HTML de Web Intelligence), debido a una validación insuficiente del tipo de archivo, permite al creador de informes cargar archivos desde el sistema local al informe. Al cargar el archivo de imagen, un atacante autenticado podría interceptar la solicitud, modificar el tipo de contenido y la extensión para leer y modificar datos sensibles causando un alto impacto en la confidencialidad e integridad de la aplicación.
Para resolver esta vulnerabilidad debemos actualizar a las versiones de SP indicadas en la nota 3370490.
3327896 – Memory Corruption vulnerability in SAP CommonCryptoLib
Vulnerabilidad en SAP CommonCryptoLib que permite a un atacante no autenticado crear una solicitud que, cuando se envía a un puerto abierto, provoca un error de corrupción de memoria en una biblioteca, lo que a su vez provoca que el componente de destino falle y generando una indisponibilidad del componente. No hay posibilidad de ver o modificar ninguna información.
Esta vulnerabilidad afecta a los siguientes productos de SAP:
- Product – SAP CommonCryptoLib, Versions – 8
- Product – SAP NetWeaver AS ABAP, SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise, Versions – KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KERNEL 7.22, KERNEL 8.04, KERNEL64UC 7.22, KERNEL64UC 7.22EXT, KERNEL64UC 7.53, KERNEL64UC 8.04, KERNEL64NUC 7.22, KERNEL64NUC 7.22EXT
- Product – SAP Web Dispatcher, Versions – 7.22EXT, 7.53, 7.54, 7.77, 7.85, 7.89
- Product – SAP Content Server, Versions – 6.50, 7.53, 7.54
- Product – SAP HANA Database, Versions – 2.0
- Product – SAP Host Agent, Versions – 722
- Product – SAP Extended Application Services and Runtime (XSA), Versions – SAP_EXTENDED_APP_SERVICES 1, XS_ADVANCED_RUNTIME 1.00
- Product – SAPSSOEXT, Versions – 17
Para resolver la vulnerabilidad, debemos aplicar la última versión de kernel disponible o aplicar el hotfix dw_utils.sar.
En la siguiente tabla vemos todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
| Note | Title | Priority | CVSS |
| 2622660 | Security updates for the browser control Google Chromium delivered with SAP Business Client | Hot News | 10.0 |
| 3320355 | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management) | Hot News | 9.9 |
| 3245526 | Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC) | Hot News | 9.9 |
| 3340576 | Missing Authorization check in SAP CommonCryptoLib | Hot News | 9.8 |
| 3370490 | Insufficient File type validation in SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) | High | 8.7 |
| 3327896 | Memory Corruption vulnerability in SAP CommonCryptoLib | High | 7.5 |
| 3357163 | Code Injection vulnerability in SAP PowerDesignerClient | Medium | 6.3 |
| 3317702 | Arbitrary File Delete via Directory Junction in SAP BusinessObjects Suite(installer) | Medium | 6.2 |
| 3156972 | URL Redirection vulnerability in SAP S/4HANA(Manage Catalog Items and Cross-Catalog search) | Medium | 6.1 |
| 3149794 | Cross-Site Scripting (XSS) vulnerabilities in jQuery-UI library bundled with SAPUI5 | Medium | 6.1 |
| 3349805 | Denial of service (DOS) vulnerability due to the usage of vulnerable version of Commons FileUpload in SAP Quotation Management Insurance (FS-QUO) | Medium | 5.7 |
| 3323163 | Code Injection vulnerability in SAP NetWeaver AS ABAP (applications based on Unified Rendering) | Medium | 5.5 |
| 3326361 | Missing Authorization check in S4CORE (Manage Purchase Contracts App) | Medium | 5.4 |
| 3352453 | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Version Management System) | Medium | 5.3 |
| 3348142 | Missing Authentication check in SAP NetWeaver (Guided Procedures) | Medium | 5.3 |
| 3369680 | External Entity Loop vulnerability in SAP S/4HANA (Create Single Payment application) | Low | 3.5 |
Este mes SAP ha liberado 17 notas de seguridad de las cuales 4 tienen una puntuación CVSS por encima de 9.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Septiembre | 2 | 9 | 2 | 4 | 17 |
| Agosto | 1 | 7 | 8 | 2 | 18 |
| Julio | 0 | 9 | 7 | 2 | 18 |
| Junio | 1 | 8 | 4 | 0 | 13 |
| Mayo | 3 | 10 | 9 | 2 | 24 |
| Abril | 3 | 15 | 1 | 5 | 24 |
| Marzo | 0 | 10 | 4 | 5 | 19 |
| Febrero | 0 | 20 | 5 | 1 | 26 |
| Enero | 0 | 5 | 0 | 5 | 12 |
| TOTAL | 8 | 84 | 38 | 22 | 154 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Marzo | Abril | Mayo | Junio | Julio | Agosto | Septiembre | TOTAL | |
| Clickjacking | 0 | |||||||
| Code Injection | 2 | 4 | 1 | 2 | 3 | 15 | ||
| Cross-Site Scripting | 4 | 1 | 5 | 9 | 2 | 2 | 38 | |
| Denial of Service | 2 | 2 | 1 | 1 | 4 | 1 | 1 | 12 |
| Improper authentication | 2 | 3 | 1 | 4 | 18 | |||
| Improper input validation | 1 | 2 | 1 | 1 | 9 | |||
| Information Disclosure | 3 | 3 | 12 | 1 | 5 | 2 | 28 | |
| Memory corruption | 2 | 1 | 3 | 1 | 7 | |||
| Missing Authorization Check | 4 | 5 | 1 | 1 | 3 | 1 | 3 | 19 |
| Missing input Validation | 1 | 1 | ||||||
| Missing XML Validation | 0 | |||||||
| Remote Code Execution | 2 | 1 | 5 | |||||
| Server Side Request Forgery | 1 | 1 | ||||||
| SQL Injection | 1 | 1 | 1 | 1 | 5 | |||
| Otros | 3 | 6 | 3 | 2 | 5 | 5 | 4 | 36 |
| 22 | 27 | 26 | 26 | 26 | 21 | 19 | 175 |
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes de SAP ME y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Artículos anteriores de este mismo año 2023:
ABRIL 2023 – MAYO 2023 – JUNIO 2023 – JULIO 2023 – AGOSTO 2023
Fuentes:
https://launchpad.support.sap.com/#/securitynotes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
