Cabecera-v2-web.jpg

Actualizaciones de seguridad para productos SAP abordan vulnerabilidades de riesgo crítico, alto y medio


Recientemente han sido abordadas un total de 14 vulnerabilidades que afectan a SAP Netweaver, SAP Disclosure Management y SAP Business Objects, de las cuales 2 han sido catalogadas como críticas, 1 de riesgo alto, 10 de riesgo medio y 1 de riesgo bajo. La explotación exitosa de estos fallos permitiría a un atacante obtener información útil para realizar otros ataques, ejecutar comandos del sistema y obtener acceso sin restricciones al sistema SAP.

En el siguiente cuadro, se mencionan las 14 vulnerabilidades agrupadas por su identificador CVE, criticidad y productos afectados:

tableSAP.png

Vulnerabilidades críticas que afectan al componente LM Configuration Wizard de SAP NetWeaver. El CVE-2020-6287 apodado como “RECON”, trata de una vulnerabilidad de escalamiento de privilegios y se da debido a una falta de verificación de autenticación en el componente web afectado. La explotación exitosa de este fallo permitiría a un atacante no autenticado obtener acceso no restringido al sistema SAP, con la capacidad de crear usuarios de altos privilegios y ejecutar comandos del sistema con los privilegios del usuario adm (usuario con acceso a todos los recursos relacionados con los sistemas SAP). Mientras que el CVE-2020-6286, trata de una vulnerabilidad de path traversal y se da debido a una validación errónea de la ruta de entrada de ciertos parámetros no especificados, en el servicio web. La explotación exitosa de este fallo permitiría a un atacante no autenticado descargar archivos de configuración del servidor y acceder a información que podría ser útil para realizar posteriores ataques.

Por otro lado, se identificaron vulnerabilidades de divulgación de información. El CVE-2020-6285 de riesgo alto, que afecta al componente XML Toolkit for Java de SAP NetWeaver. La explotación exitosa de este fallo, bajo ciertas circunstancias no especificadas, permitiría a un atacante acceder a información restringida y potencialmente útil para realizar posteriores ataques al sistema. Mientras que el CVE-2020-6280 de riesgo bajo, afecta a los componentes ABAP Server y ABAB Platform de SAP NetWeaver. La explotación exitosa de este fallo permitiría a un atacante autenticado con privilegios de administrador obtener acceso a archivos restringidos.

Además, han sido abordadas vulnerabilidades de riesgo medio que afectan a SAP Disclosure Management. El CVE-2020-6267, se da debido a que ciertas cookies no cuentan con la flag HttpOnly. La explotación exitosa de este fallo permitiría a un atacante obtener las cookies del navegador y hacerse pasar por el usuario víctima. Mientras que el CVE-2020-6289, trata de una vulnerabilidad de Cross-Site Request Forgery (CSRF). La explotación exitosa de este fallo permitiría a un atacante engañar a una víctima para redirigirla a un sitio malicioso o ejecutar acciones en su nombre. El CVE-2020-6290, se da debido a que los ID de sesión no varían al momento del inicio de sesión. Un atacante podría engañar a la víctima para que utilice un ID de sesión específico y seguidamente tomar control de la sesión. Los CVE-2020-6291 y CVE-2020-6292, tratan de vulnerabilidades de Insufficient Session Expiration, y se dan debido a que la aplicación permite el acceso ilimitado después del inicio de sesión, la explotación exitosa de este fallo permitiría a un atacante reutilizar los IDs de sesión de un usuario y así sobrepasar la seguridad del sistema afectado.

Finalmente los CVE-2020-6281, CVE-2020-6276, CVE-2020-6278 y CVE-2020-6222, tratan de vulnerabilidades de Cross-site Scripting (XSS) en SAP Business Objects Business Intelligence Platform y se dan debido a que no se validan correctamente las entradas del usuario. La explotación exitosa de estos fallos permitiría a un atacante ejecutar código malicioso en el navegador de la víctima.

Recomendaciones:

  • Actualice los productos SAP afectados a sus últimas versiones disponibles en el portal de soporte de SAP, desde el siguiente enlace.
  • Analice los sistemas de SAP en busca de todas las vulnerabilidades conocidas, así como parches de seguridad faltantes, configuraciones vulnerables del sistema y vulnerabilidades en el código personalizado de SAP.
  • Identifique y analice las configuraciones de seguridad entre las interfaces de de SAP y los sistemas o aplicaciones.
  • Monitoree los sistemas para detectar posibles comportamientos inusuales de los usuarios con o sin privilegios.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11