Aviso de seguridad en productos de SAP

---

13/04/2022

SAP ha publicado un aviso de seguridad que subsana múltiples vulnerabilidades en sus productos, que permitirían a un atacante realizar ataques de cross-site request forgery (CSRF), denegación de servicio (DoS), escalamiento de privilegios, entre otros.

Las vulnerabilidades reportadas se componen de 3 (Tres) de Severidad “Alta”, 22 (Veintidós) de Severidad “Media” y 2 (Dos) de Severidad “Baja”, las principales que se detallan a continuación:

• CVE-2022-27671 de severidad alta, con una puntuación asignada de 8.2. Esta vulnerabilidad se debe a una falla que hace que el Token sea visible en una de las URLs en SAP Business Intelligence Platform. Un atacante remoto podría aprovechar esta vulnerabilidad para realizar ataques de cross-site request forgery (CSRF) en el sistema afectado.

• CVE-2022-28772 de severidad alta, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en el control de los valores de entrada. Un atacante podría aprovechar esta vulnerabilidad para realizar denegación de servicio (DoS) en SAP Web Dispatcher y SAP Netweaver (Internet Communication Manager).

• CVE-2022-23181 de severidad alta, con una puntuación asignada de 7.0. Esta vulnerabilidad se debe a una falla de escalamiento de privilegios en el componente del servidor Apache Tomcat de SAP Commerce. Un atacante podría realizar acciones con los privilegios del usuario que está utilizando el proceso Tomcat.

Puede visualizar el listado completo de las vulnerabilidades en el siguiente enlace.

Los principales productos afectados son:

• SAP BusinessObjects Business Intelligence Platform 420, 430.
• SAP NetWeaver (Internet Communication Manager); KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86.
• SAP Web Dispatcher; 7.53, 7.77, 7.81, 7.85, 7.86.
• SAP Commerce; 1905, 2005, 2105, 2011.

Para visualizar la lista completa de todos los productos afectados acceder al siguiente enlace.

Recomendamos instalar las actualizaciones correspondientes provistas por fabricante disponibles en medios oficiales del proveedor

Referencias:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1211/
• https://nvd.nist.gov/vuln/detail/CVE-2022-27671
• https://nvd.nist.gov/vuln/detail/CVE-2022-23181
• https://nvd.nist.gov/vuln/detail/CVE-2022-23181
• https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10#:~:text=www.sap.com,contactsap