Cabecera-v2-web.jpg

Actualización de seguridad para productos SAP, abordan vulnerabilidades críticas, altas y bajas


SAP es un sistema informático, al cual se lo relaciona con los sistemas ERP (Planificación de Recursos Empresariales), por tratarse de un sistema de información que permite gestionar las diferentes acciones de una empresa, sobre todo las que tienen que ver con la producción, la logística, el inventario, los envíos y la contabilidad.

Sus servicios destacan por cubrir, además, las necesidades administrativas y proporcionar las herramientas que sus clientes necesitan.

¿Qué pasó?

SAP ha lanzado un aviso de seguridad dónde informa la corrección de 3 vulnerabilidades de riesgo crítico, 4 vulnerabilidades de riesgo alto y 9 de riesgo bajo.

A continuación se detalla las 7 vulnerabilidades de riesgo crítico y alto que han sido identificadas:

Tabla_cert1.png

El CVE-2020-6198, se da debido a una falta de verificación de autenticación, el cual permite conexiones sin cifrar de fuentes no autenticadas, y con esto un atacante podría tomar control de todas funciones remotas.

Por otro lado el CVE-2020-6207, se da debido a la falta de autenticación para un servicio, esto permitiría a un atacante obtener el control total de los agentes SMDAgents conectados al servicio.

En cuanto al CVE-2020-6203, se da debido a la validación insuficiente de la información de ruta (path) proporcionada por los usuarios, permitiendo a un atacante realizar ataques del tipo “Path traversal” (Un ataque que tiene como objetivo acceder a archivos y directorios que están almacenados fuera de la carpeta raíz web).

Mientras que CVE-2020-6208, permitiría a un atacante local con autorización básica inyectar código que puede ser ejecutado por la aplicación, dando lugar a la ejecución remota de código.

El CVE-2020-6209, se da debido a la falta de verificaciones de autorización para un usuario autenticado. Esto permitiría a un atacante con bajos privilegios acceder a las cuentas de administración.

En cuanto CVE-2020-6196, permitiría a un atacante generar múltiples solicitudes, el cual podría ser utilizado para realizar un ataque de denegación de servicios (DoS).

Por último el CVE-2018-2450, permitiría a un atacante con privilegios de operador DBM ejecutar consultas de base de datos diseñadas y, por lo tanto, leer, modificar o eliminar datos confidenciales de la base de datos.

Recomendaciones:

Actualizar los productos SAP a sus últimas versiones disponibles en el portal de soporte de SAP ingresando con las credenciales de acceso, desde el siguiente enlace.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11