Junio ha entrado fuerte siendo el mes con mas notas de seguridad liberadas hasta la fecha junto con el mes de abril. Parece ser que este mes, han dedicado bastante tiempo a buscar vulnerabilidades relacionadas con corrupción de memoria, llegando a encontrar hasta 19 vulnerabilidades que afecten a este tipo.
En cuanto a números, se han liberado un total de 17 notas de seguridad de las cuales 6 son de prioridad alta con una puntuación CVSS por encima de 7. De las 17 notas, solo 2 son actualizaciones de vulnerabilidades descubiertas en meses anteriores, por lo que habrá que revisar las notas de nuevo para ejecutar las instrucciones en caso de que aplique a nuestros sistemas. De las 6 notas de prioridad alta 5 son encontradas en el último mes y por tanto las más importantes para chequear si afectan o no a nuestros sistemas.
A continuación, analizaremos estas 6 notas:
La vulnerabilidad con la puntuación mas alta, 9.9, es una actualización de una nota liberada en el mes de abril. La vulnerabilidad es [CVE-2021-27602] Remote Code Execution vulnerability in Source Rules of SAP Commerce y la tratamos en el artículo referente al SAP Security Patch day de abril.
[CVE-2021-27610] Improper Authentication in SAP NetWeaver ABAP Server and ABAP Platform
Con un 9 de puntuación CVSS, la brecha [CVE-2021-27610] afecta a los sistemas NetWeaver ABAP en las versiones comprendidas entre la 700 a la 804, y permite a un usuario malintencionado, robar las credenciales utilizadas por RFC o HTTP entre dos servidores y utilizarla para crear una comunicación con un tercer servidor.
Según la nota 3007182, no hay otra solución posible mas que actualizar el kernel al ultimo nivel que aplique dentro de la versión instalada y reducir en la medida de lo posible los accesos a los sistemas de manera externa.
[CVE-2021-27635] Missing XML Validation in SAP NetWeaver AS for JAVA
Esta vulnerabilidad que afecta a los sistemas JAVA entre las versiones 7.20 y 7.50, permite a un usuario autenticado como administrador, enviar archivos XML malintencionados al sistema JAVA. De esta manera, el usuario podría leer cualquier archivo del sistema y bloquear el sistema, comprometiendo la confidencialidad y la disponibilidad, pero en ningún caso se vería afectada la integridad al no poder modificar ningún archivo.
La única solución a este problema esta descrita en la nota 3053066 y es la instalación del ultimo parche del componente ESI – ES PROTOCOL que aplique dentro de la versión instalada.
[Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Server and ABAP Platform –(RFC Gateway)
[Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Server and ABAP Platform – (Enqueue Server)
[Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Server and ABAP Platform – (Dispatcher)
Estos 3 grupos de vulnerabilidades, que afectan directamente a los componentes Dispatcher, gateway y Enqueue Server y tienen una puntuación CVSS de 7.5, permiten a un atacante no autenticado y sin conocimientos del sistema, enviar paquetes que desencadenen en un error interno de estos componentes bloqueando el sistema, dejando de estar disponible. En este tipo de ataques no se puede ver ni modificar nada, por tanto, afecta únicamente a la disponibilidad del sistema.
Lo bueno es que la solución de estos 3 grupos de vulnerabilidades es la misma, basándose en la actualización del kernel al último nivel que aplique dentro de la versión instalada.
En el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:
En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 92 notas de seguridad de las cuales 20 tienes una puntuación CVSS por encima de 9 y 46 por encima de 7.
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente.
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Como siempre, solo queda recomendar pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar la que apliquen a los sistemas de cada empresa.
Fuente:
.
La entrada SAP Security Patch Day: Junio 2021 se publicó primero en Blog de SAP: Actualidad SAP, Business Intelligence, SAP HCM, Abap....