Cómo cada mes, SAP publica su security patch day resumiendo las últimas novedades en cuanto a la seguridad de sus productos que en este artículo las analizaremos y explicaremos de una manera sencilla.
En cuanto a números, se han liberado un total de 19 notas de seguridad, de las cuales 9 son de prioridad alta con una puntuación CVSS por encima de 7. De las 19 notas, 2 actualizan vulnerabilidades descubiertas anteriormente con cambios en las versiones a las que aplica y en las soluciones propuestas, por lo que hay que revisar si nos aplican para tomar las medidas correctivas recomendadas.
A continuación, analizaremos estas 9 notas:
Security updates for the browser control Google Chromium delivered with SAP Business Client
Comenzamos con la actualización de una nota ya conocida que hemos comentado en varias ocasiones, y que debemos recordar la importancia de la misma, se trata de la nota 2622660 que con una valoración de 10 CVSS es importante tenerla siempre en mente. Se trata de la nota que recopila las actualizaciones disponibles para el navegador chromium integrado en SAP Business Client. La nota ha sido actualizada incluyendo las últimas versiones liberadas y documentando las últimas vulnerabilidades que se previenen con su actualización.
[CVE-2021-37535] Missing Authorization check in SAP NetWeaver Application Server for Java (JMS Connector Service)
Nueva vulnerabilidad por la que SAP NetWeaver Aplication Server for Java y el JMS connector Service no realizan los chequeos de autorización necesarios, pudiendo resultar en el abuso de una funcionalidad restringida a un grupo de usuarios o incluso en el acceso, modificación o borrado de datos restringidos. Siendo una consecuencia tan grave la vulnerabilidad cuenta con el valor máximo: 10 CVSS.
Cómo solución, SAP propone actualizar los servidores de aplicación java a un SP en el que esté resuelta esta vulnerabilidad, aunque también propone un workaround alternativo que puede resolver la vulnerabilidad y no requiere reinicio. Cómo es habitual el workaround no es tan robusto cómo actualizar a un SP con la vulnerabilidad resuelta.
Esta vulnerabilidad afecta a las siguientes versiones de SAP NetWeaver Application Server Java (JMS Connector Service): 7.11, 7.20, 7.30, 7.31, 7.40, 7.50.
[CVE-2021-33698] Unrestricted File Upload vulnerability in SAP Business One
Actualización de una importante vulnerabilidad con la que abrimos el artículo del security patch day de agosto, con un CVS de 9.9. Se trata de una vulnerabilidad por la que se podría subir cualquier fichero a SAP Business One sin realizar ninguna comprobación, pudiendo incluso a subirse scripts maliciosos.
En esta actualización SAP mejora la documentación del workaround definiendo mejor los pasos a realizar. Es importante recordar que el workaround debe ser una solución temporal hasta que se aplique la actualización necesaria.
[CVE-2021-38176] SQL Injection vulnerability in SAP NZDT Mapping Table Framework
Nueva e importante vulnerabilidad que puede llegar a comprometer la confidencialidad, la integridad y la disponibilidad de los datos almacenados en nuestras BD. Por lo que cuenta con un CVSS de 9.9. Esta vulnerabilidad descubre que un usuario autenticado con unos privilegios específicos podría llamar de manera remota a los módulos de función listados en la nota 3089831 y llegar a ejecutar una query manipulada llegando a lograr acceso a la BD backend de nuestro sistema SAP.
La solución propuesta por SAP pasa por aplicar los cambios automáticos que incluye esta nota para la SNOTE, desactivando los módulos de función afectados. Además, documentan un workaround que únicamente mitiga el problema impidiendo que esta vulnerabilidad sea explotada de manera remota.
Las versiones afectadas por esta vulnerabilidad son:
- SAP S/4HANA, Versions – 1511, 1610, 1709, 1809, 1909, 2020, 2021
- SAP LT Replication Server, Versions – 2.0, 3.0
- SAP LTRS for S/4HANA, Version – 1.0
- SAP Test Data Migration Server, Version – 4.0
- SAP Landscape Transformation, Version – 2.0
[CVE-2021-38163] Unrestricted File Upload vulnerability in SAP NetWeaver (Visual Composer 7.0 RT)
Vulnerabilidad por la que SAP NetWeaver Composer permite a un atacante autenticado cómo usuario no administrador subir un fichero malicioso mediante la red y ejecutar comandos de sistema operativo con los privilegios de un proceso de servidor java. Estos comandos pueden usarse para leer o modificar cualquier información del servidor, o apagarlo dejándolo indisponible.
La solución pasa por implementar el parche proporcionado por SAP, o aplicar el workaround propuesto por SAP. Cómo siempre nos recuerda SAP el workaround es una solución temporal.
[CVE-2021-37531] Code Injection vulnerability in SAP NetWeaver Knowledge Management (XMLForms)
SAP Netweaver Portal contiene una vulnerabilidad XSLT que permite a un usuario autenticado no administrador, crear un XSL malicioso que contenga un script con comandos de sistema operativo y hacer que sea ejecutado por el motor XSLT resultando en la ejecución del script. Pudiendo comprometer totalmente la confidencialidad, integridad y disponibilidad del sistema.
En este caso no hay workaround disponible ya que no se puede deshabilitar esta funcionalidad, deberemos aplicar los SP especificados en la nota 3081888.
[CVE-2021-33672] Multiple vulnerabilities in SAP Contact Center CVE-2021-33673, CVE-2021-33674, CVE-2021-33675
La nota 3073891 recopila las vulnerabilidades que afectan al SAP Contact Center, son vulnerabilidades que se pueden explotar mediante el chat de SAP, pudiendo llegar a comprometer el equipo que recibe el mensaje del chat o email. Habiéndose detectado diferentes vulnerabilidades de los tipos OS Command Injection y XSS.
[CVE-2021-38162] HTTP Request Smuggling in SAP Web Dispatcher
Vulnerabilidad por la que un atacante no autenticado puede enviar peticiones maliciosas por la red hacia un servidor front-end, pudiendo confundir al servidor back-end haciendo pasar sus mensajes cómo legítimos. Siendo posible llegar a leer, modificar información del servidor o consumir recursos de hardware llegando a afectar a su disponibilidad.
La nota 3080567 detalla las condiciones en las que se puede dar esta vulnerabilidad, que puede afectar a servidores de aplicación ABAP, servidores de aplicación JAVA y SAP HANA. Deberemos comprobar que tenemos aplicadas las recomendaciones de la nota 3000663 tanto en nuestro SAP Web Dispatcher cómo en los servidores back-end.
[CVE-2021-38177] Null Pointer Dereference vulnerability in SAP CommonCryptoLib
Las versiones de SAP CommonCryptoLib 8.5.38 o inferiores tienen esta vulnerabilidad por la que un atacante no autenticado podría enviar mensajes maliciosos sobre peticiones HTTP en la red, provocando el fallo de la aplicación SAP y causar la indisponibilidad del sistema.
Podemos prevenir esta vulnerabilidad siguiendo los pasos de la nota 3051787 que nos guía en la actualización de los diferentes componentes que requiere.
En el siguiente cuadro, todas las notas liberadas este mes para comprobar si aplican o no en vuestros sistemas:
En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 141 notas de seguridad de las cuales 32 tienen una puntuación CVSS por encima de 9 y 57 por encima de 7.
El desglose de vulnerabilidades encontradas en los sistemas SAP ha sido el siguiente:
La diferencia de notas liberadas y vulnerabilidades es debido a que una nota puede solucionar múltiples vulnerabilidades.
Nos despedimos recomendando pasarse por el apartado de security notes del Launchpad de SAP y analizar las notas liberadas desde la última actualización de nuestros sistemas e instalar las que apliquen a los sistemas de cada empresa.
Esperamos que sea de utilidad, no olvidéis que podéis consultar dudas en los comentarios. ¡Os esperamos el mes que viene con más actualizaciones!
Fuentes:
La entrada SAP Security Patch Day SEPTIEMBRE se publicó primero en Blog de SAP: Actualidad SAP, Business Intelligence, SAP HCM, Abap....