Como cada segundo martes de cada mes, el equipo de seguridad de SAP ha compartido las notas de seguridad que solucionan vulnerabilidades en los sistemas SAP en el denominado “SAP Security Patch Day” y por tanto, aquí venimos con el artículo en el que intentamos dar una visión mas cercana de estas vulnerabilidades y ayudar de algún modo a saber si aplican o no a vuestros sistemas.
En cuanto a números, este mes han liberado 13 notas de seguridad de las cuales 5 son de prioridad alta con una puntuación CVSS por encima de 7. De las 13 notas, 4 son actualizaciones de vulnerabilidades descubiertas en meses anteriores, por lo que habrá que revisar las notas de nuevo para ejecutar las instrucciones en caso de que aplique a nuestros sistemas. De las 5 notas de prioridad alta 3 son encontradas en el último mes y por tanto las más importantes para chequear si afectan o no a nuestros sistemas.
A continuación, analizaremos estas 5 notas:
Las dos primeras, con la máxima puntuación CVSS, son actualizaciones de meses anteriores.
Una de ellas es la ya tantas veces mencionada vulnerabilidad en el navegador Chromium al usar Business Client 6.5, y la otra actualización tiene que ver con falta de chequeos de autorización en el Solution Manager. De esta vulnerabilidad y de algunas otras, ya hablamos en su día en el artículo relativo a la importancia de la seguridad en Solution Manager publicado en septiembre de 2020.
Respecto a las encontradas este mes, la primera de ellas, con una puntuación CVSS de 9.9, se encuentra la vulnerabilidad CVE-2021-21480 que afecta al producto de SAP, “Manufacturing Integration and Intelligence” en las versiones comprendidas entre la 15.1 y la 15.4. Este fallo permite que un atacante pueda interceptar una petición al servidor e inyectar código JSP malicioso guardar Dashboards en formato JSP. De esta manera, al abrir el Dashboard con permisos de desarrollador, el código se ejecuta permitiendo al atacante una escalada de privilegios poniendo en riesgo la confidencialidad, integridad y disponibilidad del servidor. La solución se basa en actualizar el componente a la ultima versión. Tras esta actualización, ningún usuario podrá guardar Dashboards en formato JSP.
La siguiente vulnerabilidad que sigue de cerca a la anterior con una puntuación de 9.6, aplica al “MigrationService” de los sistemas NW Java comprendidos entre las versiones 7.10 y 7.5. La vulnerabilidad CVE-2021-21481 permite a un atacante no autorizado a acceder a los objetos de configuración al no realizar un chequeo de autorización, incluidos los que otorgan privilegios. Como explica la nota 3022422, la solución pasa por actualizar el componente J2EE-APPS a la ultima versión, lo cual, conlleva reinicio de la pila JAVA.
Por último, con una puntuación de 7.7, se encuentra la vulnerabilidad CVE-2021-21484 que permite omitir la autenticación en el LDAP de SAP HANA. Este error que aplica a la versión 2.0 de SAP HANA, se soluciona aplicando una de las siguientes versiones.
- SAP HANA 2.0 SPS04: revisión 48.04
- SAP HANA 2.0 SPS05: revisión 54
Además de las 3 vulnerabilidades comentadas, podéis ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:
En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 169 notas de seguridad de las cuales 28 tienes una puntuación CVSS por encima de 9 y 37 por encima de 7.
| LOW | MEDIUM | HIGH | HOT NEWS | TOTAL | |
| Enero | 1 | 10 | 1 | 5 | 17 |
| Febrero | 8 | 2 | 3 | 13 | |
| Marzo | 8 | 1 | 4 | 13 | |
| TOTAL | 1 | 26 | 4 | 12 | 43 |
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
| Enero | Febrero | Marzo | TOTAL | |
| Clickjacking | 1 | 1 | ||
| Code Injection | 2 | 1 | 3 | |
| Cross-Site Scripting | 1 | 1 | ||
| Denial of Service | 1 | 1 | 2 | |
| Improper input validation | 10 | 10 | ||
| Information Disclosure | 3 | 3 | ||
| Missing Authorization Check | 4 | 3 | 6 | 13 |
| Missing input Validation | 16 | 16 | ||
| Remote Code Execution | 1 | 1 | ||
| Server Side Request Forgery | 1 | 1 | ||
| SQL Injection | 1 | 1 | 2 | |
| Otros | 6 | 6 | 4 | 16 |
| 33 | 14 | 22 | 69 |
En el launchpad de SAP, existe un apartado donde están listadas todas las notas de seguridad liberadas. La url es https://launchpad.support.sap.com/#/securitynotes y en esta aplicación, se pueden listar los sistemas que tengamos como productivos en SAP e ir decidiendo una acción sobre cada una de las notas. Las opciones son, confirmar, para marcar las que ya hayamos instalado en nuestro sistema o No Relevante, para las notas que no aplican a nuestro sistema. De esta manera, podremos tener un control más exhaustivo de la seguridad de nuestros sistemas en cuanto a notas se refiere.
Como siempre, solo queda recomendar realizar mensualmente un chequeo de las notas de seguridad liberadas por SAP e instalar la que se aplique a los sistemas de cada empresa.
Fuente:
La entrada SAP Security Patch Day: Marzo 2021 se publicó primero en Blog de SAP: Actualidad SAP, Business Intelligence, SAP HCM, Abap....