Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a productos SAP, que permitirían a un atacante realizar inyección de código, ejecución de comandos, obtener acceso no autorizado, entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica”, 5 (cinco) de severidad “Alta” y 12 (doce) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-25616, de severidad “Crítica” y puntuación de 9.9. Esta vulnerabilidad de inyección de código se debe a una falla al ejecutar objetos de programa en SAP Business Objects Business Intelligence Platform (CMC). Esto permitiría a un atacante obtener acceso no autorizado a recursos con permisos privilegiados y poner en peligro la confidencialidad, integridad y disponibilidad del sistema afectado.
- CVE-2023-23857, de severidad “Crítica” y puntuación de 9.9. Esta vulnerabilidad se debe a una falla de seguridad en el control de la conexión a una interfaz abierta en SAP NetWeaver AS para Java. Esto permitiría a un atacante no autenticado a través del uso de una API abierta de nomenclatura y directorios, obtener acceso a los servicios para leer/modificar cierta información sensible y poner en peligro la disponibilidad del sistema afectado.
- CVE-2023-27269, de severidad “Crítica” y puntuación de 9.6. Esta vulnerabilidad del tipo directory Traversal se debe a una falla de seguridad en SAP NetWeaver AS para ABAP y Plataforma ABAP. Esto permitiría a un atacante con autorizaciones no administrativas sobrescribir archivos del sistema operativo potencialmente críticos, provocando una denegación de servicio (DoS) en el sistema afectado.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Algunos productos afectados son:
- SAP Business Objects Business Intelligence Platform (CMC), versiones 420 y 430.
- SAP NetWeaver AS Java (Servicio de análisis de objetos), versión 7.50.
- SAP NetWeaver AS para ABAP y ABAP Platform (SAP_BASIS), versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 y 791.
- SAP NetWeaver, versiones 700, 701, 702, 731, 740 y 750.
Se puede acceder al listado completo de los productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes que son provistas por el soporte de SAP en los siguientes enlaces:
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
- https://support.sap.com/en/offerings-programs/support-small-medium-enterprises/business-one/upgrades-patches.html
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1530/
- https://nvd.nist.gov/vuln/detail/CVE-2023-25616
- https://nvd.nist.gov/vuln/detail/CVE-2023-23857
- https://nvd.nist.gov/vuln/detail/CVE-2023-27269
- https://www.sap.com/latinamerica/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
- https://support.sap.com/en/offerings-programs/support-small-medium-enterprises/business-one/upgrades-patches.html