Cabecera-v2-web.jpg

Actualizaciones de seguridad en productos de SAP


10/02/2021

El 9 de febrero de 2021, el equipo de respuesta de seguridad de productos de SAP, en su Security Patch Day, informó sobre 7 actualizaciones de seguridad nuevas y 6 actualizaciones anteriores, siendo 3 de severidad crítica, 2 altas y 8 medias.

Productos afectados

  • SAP Business Client, versión 6.5.
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011.
  • SAP Business Warehouse, versiones 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 782.
  • SAP NetWeaver AS ABAP (SAP Landscape Transformation - DMIS), versiones 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 y 2011_1_752, 2020.
  • SAP S4 HANA (SAP Landscape Transformation), versiones 101, 102, 103, 104 y 105.
  • SAP NetWeaver AS ABAP, versiones 740, 750, 751, 752, 753, 754 y 755.
  • SAP Software Provisioning Manager 1.0 (SAP NetWeaver Master Data Management Server 7.1), versión 1.0.
  • SAP NetWeaver Process Integration (Java Proxy Runtime), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50.
  • SAP Business Objects Business Intelligence Platform (CMC and BI Launchpad), versiones 410, 420 y 430.
  • SAP UI5, versiones 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4 y 1.86.1.
  • SAP Web Dynpro ABAP.
  • SAP UI, versiones 7.5, 7.51, 7.52, 7.53 y 7.54.
  • SAP UI 700, versión 2.0.
  • SAP HANA Database, versiones 1.0 y 2.0.
  • SAP NetWeaver Master Data Management Server, versiones 710 y 710.750.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes

  • 1 vulnerabilidad de secuestro del click.
  • 1 vulnerabilidad de Cross Site Scripting.
  • 1 vulnerabilidad de denegación de servicio.
  • 3 vulnerabilidades de falta de comprobación de autorización.
  • 1 vulnerabilidad de ejecución remota de código.
  • 1 vulnerabilidad de SQL injection.
  • 6 vulnerabilidades de otro tipo.

A continuación se detallan las vulnerabilidades y actualizaciones, con sus respectivos identificadores, prioridad y calificación de riesgo:

Nuevas vulnerabilidades:

Nota: 3014121 - Severidad: Crítica - Calificación: 9,9

El CVE-2021-21477, tiene una vulnerabilidad de ejecución remota de código en SAP Commerce afectando a las versiones 1808, 1811, 1905, 2005, y 2011, y permite a ciertos usuarios con los privilegios necesarios editar las reglas de drools. Un atacante autenticado con este privilegio podrá inyectar código malicioso en las reglas de drools que, cuando se ejecutan, llevan a la ejecución de código de forma remota, que permite al atacante poner en peligro el host subyacente, afectando la confidencialidad, integridad y disponibilidad de la aplicación.

Nota: 2998173 - Severidad: Media - Calificación: 6,3

El CVE-2021-21472, posee una vulnerabilidad de configuración en el servidor donde no se establece durante la instalación una contraseña, éste afecta SAP Software Provisioning Manager 1.0 (SAP NetWeaver Master Data Management Server 7.1), la cual no tiene una opción para establecer contraseña del servidor. Esto permite que un atacante autenticado realice varios ataques de seguridad como Directory Traversal, Password Brute Force Attack, SMB Relay attack, Security Degradar.

Nota: 2935791 - Severidad: Media - Calificación:5,4

El CVE-2021-21444, contiene una vulnerabilidad de secuestro de clics que afecta a SAP Business Objects Business Intelligence Platform (CMC and BI Launchpad) en sus versiones 410, 420, y 430. Esta permite múltiples entradas de encabezados X-Frame-Options en los encabezados de respuesta, que pueden no ser tratados de manera predecible por todos los agentes de usuario. Esto podría, como resultado, anular el encabezado X-Frame-Options agregado que conduce al ataque Clickjacking.

Nota: 3014303 - Severidad: Media - Calificación: 4,7

El CVE-2021-21476, contiene una vulnerabilidad de Reverse Tabnabbing, que afecta a SAP UI5 en sus versiones 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4, y 1.86.1. Permite que un atacante no autenticado dirija a los usuarios a un sitio malicioso.

Nota: 2974582 - Severidad: Media - Calificación: 4,7

El CVE-2021-21478, contiene una vulnerabilidad de Reverse Tabnabbing, que afecta a SAP Web Dynpro ABAP, y permite a un atacante redirigir a los usuarios a un sitio malicioso.

Nota: 2992154 - Severidad: Media - Calificación: 4,1

El CVE-2021-21474, contiene una vulnerabilidad de la base de datos que afecta a SAP HANA Database en sus versiones 1.0, y 2.0, que acepta tokens SAML con resumen MD5, un atacante que logra obtener una afirmación SAML firmada por resumen MD5 emitida para una instancia de SAP HANA podría manipularla y alterarla de una manera que el compendio sigue siendo el mismo y sin invalidar la firma digital, esto les permite hacerse pasar por usuario en la base de datos HANA y poder leer los contenidos en la base de datos.

Nota: 3000897 - Severidad: Media - Calificación: 4

El CVE-2021-21475, contiene una vulnerabilidad de Directory Traversal que afecta a SAP NetWeaver Master Data Management Server en sus versiones 710, y 710.750 y permite que un atacante no autorizado explote la validación insuficiente de la información de ruta proporcionada por los usuarios, por lo que los caracteres que representan 'atravesar al directorio principal' se transfieren a las API del archivo. Debido a esta vulnerabilidad, el atacante podría leer el contenido de archivos arbitrarios en el servidor remoto y exponer datos confidenciales.

Actualizaciones:

Nota: 2622660 - Severidad: Crítica - Calificación: 10

Actualizaciones de seguridad para el control del navegador Google chrome entregadas con SAP Business Versión 6.5, publicada en la nota de seguridad de Abril de 2018 Patch Day.

Nota: 2986980 - Severidad: Crítica - Calificación: 9,9

Actualización de la nota de seguridad para SAP Business Warehouse, en sus versiones 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, y 782, publicada en la nota de seguridad de diciembre 2020 Patch Day.

Los CVE-2021-21465, CVE-2021-21468, permiten que un atacante con pocos privilegios ejecute cualquier consulta de base de datos diseñada, exponiendo la base de datos de back-end. Un atacante puede incluir sus propios comandos SQL que la base de datos ejecutará sin desinfectar adecuadamente los datos que no son de confianza, lo que genera una vulnerabilidad de inyección SQL que puede comprometer completamente el sistema SAP afectado.

Nota: 2993132 - Severidad: Alta - Calificación:7,6

Actualización de la nota de seguridad para SAP NetWeaver AS ABAP (SAP Landscape Transformation - DMIS) en sus versiones 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, y 2020 y SAP S4 HANA (SAP Landscape Transformation) en sus versiones - 101, 102, 103, 104, y 105, publicada en la nota de seguridad de diciembre de 2020 Patch Day.

El CVE-2020-26832, que provoca la falta de comprobación de autorización , permite a un usuario con altos privilegios para ejecutar un módulo de función RFC al que se debe restringir el acceso; sin embargo, debido a la falta de autorización, un atacante puede obtener acceso a información interna sensible del sistema SAP vulnerable o hacer que los sistemas SAP vulnerables no estén disponibles por completo.

Nota: 3000306 - Severidad:Alta - Calificación: 7,6

Actualización de la nota de seguridad para SAP NetWeaver AS ABAP, en sus versiones - 740, 750, 751, 752, 753, 754, y 755, publicada en la nota de seguridad de El CVE-2021-21446, provoca la denegación de servicio (DoS) y permite que un atacante no autenticado evite que usuarios legítimos accedan a un servicio, ya sea bloqueando o inundando el servicio, esto tiene un alto impacto en la disponibilidad del servicio de enero de 2021 Patch Day.

Nota: 2843016 - Severidad: Media - Calificación: 4,3

Actualización de la nota de seguridad para SAP UI5 HTTP Handler (SAP_UI versiones 7.5, 7.51, 7.52, 7.53, 7.54 y SAP UI_700 version 2.0), publicada en la nota de seguridad de noviembre 2019 Patch Day

El CVE-2019-0388, contiene una vulnerabilidad de spoofing, permite a un atacante manipular contenido debido a una validación de URL insuficiente.

Recomendaciones

  • Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios en los productos afectados.
  • Para las vulnerabilidades del tipo reverse tabnabbing, es posible aplicar las siguientes medidas de mitigación:
    • En HTML:
      • Añadir el atributo rel en los enlaces HTML: texto.
      • Añadir directamente en la cabecera HTTP: Referrer-Policy: noreferrer.
      • Además, varios de los principales proveedores de navegadores han empezado a proporcionar un comportamiento implícito de "rel=noopener" en caso de utilizar target="_blank".
    • En las versiones de JavaScript, mediante la siguiente función:

function openPopup(url, name, options){

// Abrir la ventana emergente y establecer la instrucción de política de apertura y referencia.

var newWin = window.open(null, name, 'noopener,noreferrer,' + options);

// Restablecer el enlace del abridor.

newWin.opener = null;

// Ahora carga la url correcta.

newWin.location = url; }

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11