Múltiples Vulnerabilidades en SAP

ANÁLISIS

En el comunicado mensual de parches de seguridad de SAP se han emitido un total de 7 notas de seguridad: 

CVE-2021-40501: Missing Authorization check in ABAP Platform Kernel.

Esta vulnerabilidad permite a un atacante autenticado escalar privilegios debido a la ausencia de autorización en el Kernel de la Plataforma ABAP. Esta vulnerabilidad afecta a las conexiones con otros sistemas mediante RFC y HTTP.

Productos afectados:

• SAP ABAP Platform Kernel, versiones 7.77, 7.81, 7.85, 7.86

Esta vulnerabilidad tiene una puntuación CVSS 3 de 9.6 por lo que es considerada de una prioridad crítica.

CVE-2021-40502: Missing Authorization check in SAP Commerce

Se trata de otra vulnerabilidad que permite escalar privilegios a un usuario autenticado en SAP Commerce.

Productos afectados:

• SAP Commerce, versiones 2105.3, 2011.13, 2005.18, 1905.34

Esta vulnerabilidad tiene una puntuación CVSS 3 de 8.3 por lo que es considerada de una prioridad alta.

CVE-2021-4050: Information Disclosure in SAP GUI for Windows

Esta vulnerabilidad permitía, a un usuario con privilegios, obtener un equivalente de autenticación de un usuario conectado y suplantarlo en el sistema SAP.

Productos afectados:

• SAP GUI para Windows, versiones anteriores a 7.60 PL13, 7.70 PL4

Esta vulnerabilidad tiene una puntuación CVSS 3 de 6.8 por lo que es considerada de una prioridad media.

CVE-2021-42062: Missing Authorization check in SAP ERP HCM

Se trata de otra vulnerabilidad que permite escalar privilegios a un usuario autenticado en SAP ERP HCM (Portugal).

Productos afectados:

• SAP ERP HCM Portugal, versiones 600, 604, 608;

Esta vulnerabilidad tiene una puntuación CVSS 3 de 6.5 por lo que es considerada de una prioridad media.

CVE-2021-40504: Leverage of Permission in SAP NetWeaver Application Server for ABAP and ABAP Platform

Esta vulnerabilidad permitía aprovechar el permiso en el servidor de aplicaciones SAP NetWeaver de ABAP. Existía una función de plantilla con altos privilegios que permitía transportar artefactos ABAP.

Productos afectados:

• SAP NetWeaver AS para ABAP y ABAP Platparam, versiones 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756

Esta vulnerabilidad tiene una puntuación CVSS 3 de 4.9 por lo que es considerada de una prioridad baja.

(Actualización) CVE-2020-6369: Hard-coded Credentials in CA Introscope Enterprise Manager

Se trata de una actualización de una vulnerabilidad en CA Introscope Enterprise que permite a un atacante eludir la autenticación.

Productos afectados:

• CA Introscope Enterprise Manager (SAP Solution Manager y SAP Focused Run), versiones 9.7, 10.1, 10.5, 10.7

Esta vulnerabilidad tiene una puntuación CVSS 3 de 7.5 por lo que es considerada de una prioridad alta.

(Actualización) CVE-2021-38164: Missing Authorization check in in SAP ERP Financial Accounting / RFOPENPOSTING_FR

Se trata de otra vulnerabilidad que permite escalar privilegios a un usuario autenticado en SAP ERP Financial Accounting.

Productos afectados:

• SAP ERP Financial Accounting (RFOPENPOSTING_FR) , versiones SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730, SAPSCORE 125, S4CORE, 100, 101, 102, 103, 104, 105

Esta vulnerabilidad tiene una puntuación CVSS 3 de 5.4 por lo que es considerada de una prioridad media[2].

RECOMENDACIONES

Todas las vulnerabilidades han sido resueltas, por lo que se recomienda instalar las actualizaciones y parches proporcionados por el fabricante en el portal de soporte de SAP [3].

REFERENCIAS

[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864
[2] https://onapsis.com/blog/sap-security-patch-day-november-2021-critical-patch-abap-platform-kernel
[3] https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html#section_370125364