Cabecera-v2-web.jpg

Actualizaciones de seguridad para productos de SAP de enero de 2021.


18/01/2021

El equipo de respuesta de seguridad de productos de SAP comparte información sobre las vulnerabilidades descubiertas en varios de sus productos, en su comunicado mensual: Un total de 10 notas de seguridad y 7 actualizaciones de notas anteriores, siendo 5 críticos, 1 alto, 10 medios y 1 bajo.

Productos afectados:

  • SAP Business Client, versión 6.5;
  • SAP Business Warehouse, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 782;
  • SAP BW4HANA, versiones 100 y 200;
  • SAP NetWeaver AS JAVA, versiones 7.20, 7.30, 7.31, 7.40 y 7.50;
  • Automated Note Search Tool (SAP Basis), versiones 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 y 7.54;
  • SAP NetWeaver AS Java (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Commerce Cloud, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface), versiones 410 y 420;
  • SAP Master Data Governance, versiones 748, 749, 750, 751, 752, 800, 801, 802, 803 y 804;
  • SAP NetWeaver AS JAVA (Key Storage Service), versiones 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 y 7.50;
  • SAP GUI FOR WINDOWS, versión 7.60;
  • SAP NetWeaver Master Data Management, versiones 7.10, 7.10.750 y 710;
  • SAP 3D Visual Enterprise Viewer, versión 9.0;
  • SAP Banking Services (Generic Market Data), versiones 400, 450 y 500;
  • SAP EPM ADD-IN, versiones 2.8 y 1010;

A continuación se detallan las vulnerabilidades encontradas, con sus respectivos identificadores, prioridad y calificación de riesgo:

Vulnerabilidades de riesgo crítico y alto:

Actualizaciones de seguridad para el control del navegador Google Chromium entregadas con SAP Business Client.

Producto afectado: SAP Business Client, Version - 6.5

Calificación de riesgo: 10 - Crítico

Producto afectado:

  • SAP Business Warehouse, versiones - 710, 711, 730, 731, 740, 750, 751, 752, 753 , 754, 755, 782

Calificación de riesgo: 9,9 - Crítico

Descripción: La interfaz de base de datos de BW permite que un atacante con pocos privilegios ejecute cualquier consulta de base de datos diseñada, exponiendo la base de datos de back-end. Un atacante puede incluir sus propios comandos SQL que la base de datos ejecutará sin sanitizar adecuadamente los datos que no son de confianza, lo que genera una vulnerabilidad de inyección SQL que puede comprometer por completo el sistema SAP afectado.

Productos afectados:

  • SAP Business Warehouse, versiones - 700, 701, 702, 711, 730, 731, 740, 750, 782
  • SAP BW/4HANA, versions 100, 200

Calificación de riesgo: 9,9 - Crítico

Descripción: Permiten que un atacante con pocos privilegios inyecte código utilizando un módulo de función habilitado de forma remota a través de la red. A través del módulo de funciones, un atacante puede crear un informe ABAP malicioso que podría usarse para obtener acceso a datos confidenciales, para inyectar declaraciones UPDATE maliciosas que también podrían tener un impacto en el sistema operativo, para interrumpir la funcionalidad del sistema SAP que, por lo tanto, puede conducir a una denegación de servicio.

  • Identificador: CVE-2020-26838 - Vulnerabilidad de inyección de código

Producto afectado:

  • SAP Business Warehouse, versiones - 700, 701, 702, 731, 740 , 750, 751, 752, 753, 754, 755, 782.
  • SAP BW4HANA, Versiones - 100, 200

Calificación de riesgo: 9,9 - Crítico

Descripción: Permite que un atacante autenticado con (altos) privilegios de desarrollador envíe una solicitud diseñada para generar y ejecutar código sin requerir la interacción del usuario. Es posible crear una solicitud que resultará en la ejecución de comandos del sistema operativo que conducen a una vulnerabilidad de inyección de código que podría comprometer por completo la confidencialidad, integridad y disponibilidad del servidor y cualquier dato u otras aplicaciones que se ejecuten en él.

Producto afectado:

  • SAP NetWeaver AS JAVA, versiones - 7.20, 7.30, 7.31, 7.40, 7.50

Calificación de riesgo: 9,9 - Crítico

Descripción: Permite que un atacante autenticado como administrador use la consola de administrador, exponga el acceso no autenticado al sistema de archivos y cargue un archivo malicioso. El atacante u otro usuario pueden usar un mecanismo separado para ejecutar los comandos del sistema operativo a través del archivo cargado que conduce a Privilege Escalation y comprometer completamente la confidencialidad, integridad y disponibilidad del sistema operativo del servidor y cualquier aplicación que se ejecute en él.

Producto afectado:

  • SAP NetWeaver AS ABAP, versiones - 740, 750, 751, 752, 753, 754, 755

Calificación de riesgo: 7,5 - Prioridad alta

Descripción: Permite que un atacante no autenticado evite que usuarios legítimos accedan a un servicio, ya sea bloqueando o inundándolo, esto tiene un alto impacto en la disponibilidad del servicio.

  • Identificador: CVE-2020-6307 - Falta la verificación de autorización

Producto afectado:

  • Herramienta de búsqueda automática de notas (base SAP), versiones: 7.0, 7.01, 7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 y 7.54

Calificación de riesgo: 6,5 - Prioridad Media

Descripción: No realiza suficientes verificaciones de autorización que conducen a la lectura de información confidencial.

Vulnerabilidades de riesgo medio:

Producto afectado:

  • SAP NetWeaver AS Java (servicio HTTP), versiones - 7.10, 7.11, 7.20, 7.30 , 7.31, 7.40, 7.50

Calificación de riesgo: 5,4 - Prioridad media.

Descripción: Permite a un atacante con privilegios de administrador acceder a datos confidenciales del usuario, como contraseñas en archivos de seguimiento, cuando el usuario inicia sesión y envía una solicitud. con credenciales de inicio de sesión, lo que lleva a la divulgación de información.

  • Identificador: CVE-2021-21445 - Vulnerabilidad de cross-site scripting (XSS).

Producto afectado:

  • SAP Commerce Cloud, versiones - 1808, 1811, 1905, 2005, 2011

Calificación de riesgo: 5,4 - Prioridad Media

Descripción: Permite que un atacante autenticado inyecte una carga útil de JavaScript maliciosa en el campo de entrada de valor personalizado de un control de entrada, que puede ser ejecutado por el usuario que ve el contenido relevante de la aplicación, lo que lleva a Stored Cross- Secuencias de comandos del sitio.

  • Identificador: CVE-2021-21447 - Vulnerabilidad de cross-site scripting (XSS)

Producto afectado:

  • Plataforma SAP BusinessObjects Business Intelligence (interfaz HTML de Web Intelligence), versiones - 410, 420

Calificación de riesgo: 5,4 - Prioridad Media

Descripción: Permite que un atacante autenticado inyecte una carga útil de JavaScript maliciosa en el campo de entrada de valor personalizado de un control de entrada, que puede ser ejecutado por el usuario que ve el contenido relevante de la aplicación, lo que lleva a Stored Cross- Secuencias de comandos del sitio.

  • Identificador: CVE-2020-6256 - Falta la verificación de autorización. Producto afectado:
  • SAP Master Data Governance, versiones - 748, 749, 750, 751, 752, 800, 801, 802 , 803, 804

Calificación de riesgo: 5,4 - Prioridad Media

Descripción: Permite a los usuarios mostrar los detalles de la solicitud de cambio sin tener las autorizaciones necesarias, debido a la falta de verificación de autorización.

Producto afectado:

  • SAP NetWeaver AS JAVA (servicio de almacenamiento de claves), versiones - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50

Calificación de riesgo: 5,4 - Prioridad Media

Descripción: Tiene el material de claves que se almacena en el servicio SAP NetWeaver AS Java Key Storage almacenado en la base de datos en el formato codificado DER. y no está encriptado. Esto permite a un atacante que tiene acceso de administrador a SAP NetWeaver AS Java decodificar las claves debido a la falta de cifrado y obtener algunos datos de la aplicación y las credenciales de cliente de los sistemas adyacentes. Esto tiene un gran impacto en la confidencialidad, ya que la información divulgada podría contener credenciales de clientes de sistemas adyacentes.

Producto afectado:

  • SAP GUI para Windows, versión - 7.60

Calificación de riesgo: 5,3 - Prioridad Media

Descripción: Permite a un atacante falsificar las credenciales de inicio de sesión para los sistemas backend ABAP del servidor de aplicaciones en la memoria de las PC cliente. Bajo ciertas condiciones, el atacante puede acceder a información que de otro modo estaría restringida. El exploit solo se puede ejecutar localmente en la PC del cliente y no a través de la red y el atacante necesita al menos la autorización del usuario del sistema operativo de la víctima.

Producto afectado:

  • Gestorde datos maestros de SAP NetWeaver, versiones - 7.10, 7.10.750, 710

Calificación de riesgo: 5,3 - Prioridad: Media

Descripción: Se ejecutan en Windows no se han revisado a fondo, es posible que un operador externo intente establecer rutas personalizadas en la configuración del servidor MDS. Cuando no se ha aplicado una protección adecuada en ningún nivel (p. Ej., La contraseña del servidor MDS no se ha establecido, la configuración de la red y el sistema operativo no están debidamente aseguradas, etc.), un usuario malintencionado puede definir rutas UNC que luego podrían explotarse para poner en riesgo el sistema utilizando un llamado ataque de retransmisión SMB y obtener datos altamente sensibles, lo que conduce a la divulgación de información.

Identificadores: CVE-2021-21449, CVE-2021-21457, CVE-2021-21458, CVE-2021-21459, CVE-2021-21450, CVE-2021-21451, CVE-2021-21452, CVE-2021-21453, CVE-2021-21454, CVE-2021-21455, CVE-2021-21456, CVE-2021-21460, CVE-2021-21461, CVE-2021-21462, CVE -2021-21463, CVE-2021-21464 - Validación de entrada incorrecta

Producto afectado:

  • SAP 3D Visual Enterprise Viewer, versión 9.0Calificación de riesgo: 4,3 Prioridad: Media

Descripción: Múltiples Vulnerabilidades de:

El CVE-2021-21449, permite a un usuario abrir un archivo IFF manipulado recibido de fuentes no confiables, lo que provoca que la aplicación se bloquee y deje de estar disponible temporalmente hasta que el usuario reinicie la aplicación, esto se debe a una Validación de entrada incorrecta.

El CVE-2021-21457, permite a un usuario abrir un archivo IFF manipulado recibido de fuentes no confiables, lo que provoca que la aplicación se bloquee y deje de estar disponible temporalmente hasta que el usuario reinicie la aplicación, esto se debe a una Validación de entrada incorrecta.

Entre otros.

Producto afectado:

  • SAP Banking Services (datos de mercado genéricos), versiones - 400, 450, 500

Calificación de riesgo: 4,3 Prioridad: Media

Descripción: No realizan las comprobaciones de autorización necesarias para un usuario autenticado, lo que da como resultado una escalada de privilegios. Un usuario no autorizado puede mostrar datos de mercado genéricos de socios comerciales (GMD) restringidos debido a una verificación de autorización incorrecta. Vulnerabilidad de riesgo bajo:

Identificador: CVE-2021-21470 - Vulnerabilidad de entidad externa XML

Producto afectado:

  • SAP EPM - ADD-IN SAP EPM, versiones - 2.8, 1010

Calificación de riesgo: 3,6 - Prioridad Baja

Descripción: Permiten a un atacante autenticado con privilegios de usuario analizar archivos XML maliciosos que podrían resultar en ataques basados en XXE en aplicaciones aceptar archivos de configuración XML controlados por atacantes. Esto ocurre porque el servicio de registro no deshabilita las entidades externas XML al analizar los archivos de configuración y un exploit exitoso resultaría en un impacto limitado en la integridad y disponibilidad de la aplicación.

Recomendaciones de seguridad

Descargar e instalar las actualizaciones o parches de seguridad, disponibles en el l sitio web oficial del fabricante lo antes posible: Actualizaciones.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11