SAP ha lanzado actualizaciones de seguridad con soluciones a 13 (trece) vulnerabilidades en varios productos de software destacados y advirtió que los actores malintencionados podrían explotar estos errores para realizar ejecución remota de código (RCE), inyección de código, divulgación de información, entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 3 (tres) de severidad “Alta”, 8 (ocho) de severidad “Media” y 1 (una) de severidad “Baja”, entre ellas se destacan las vulnerabilidades CVE-2021-44228, CVE-2021-44235 y CVE-2021-42066 que se detallan a continuación:
- CVE-2021-44228 de severidad critica, con una puntuación de 10. Esta vulnerabilidad es debida al componente JNDI (Java Naming and Directory Interface) utilizadas en la configuración, los mensajes de logs y los parámetros no se encuentran protegidos contra ataques de LDAP y endpoints con JNDI. Un atacante podría realizar ejecución remota de código (RCE). Afecta a todos los productos de SAP, para más información sobre la vulnerabilidad acceder al siguiente boletín informativo.
- CVE-2021-44707 de severidad alta, con una puntuación de 8.4. Esta vulnerabilidad se debe a una función desconocida del componente Transaction Handler. Un atacante podría realizar inyección de código en el sistema afectado. Afecta al sistema SAP NetWeaver AS ABAP.
- CVE-2021-42066 de severidad media, con una puntuación temporal de 6.6. Esta vulnerabilidad se relaciona a una función desconocida que permite a un usuario administrador ver la contraseña de la base de datos en texto plano a través de la red que debería ir cifrada. Un atacante podría comprometer la información confidencial del sistema afectado. Afecta al sistema SAP Business One.
Se puede acceder al listado completo de las vulnerabilidades subsanadas aquí.
Estos son los sistemas SAP afectadas por las vulnerabilidades:
- SAP Customer Checkout
- SAP BTP Cloud Foundry
- SAP Landscape Management
- SAP Connected Health Platform 2.0 – Fhirserver;
- SAP HANA XS Advanced Cockpit (incluye corrección proporcionada en 3131397, 3132822)
- SAP NetWeaver Process Integration (Java Web Service Adapter) (incluye corrección proporcionada en 3132204, 3130521, 3133005)
- SAP HANA XS Advanced
- Internet of Things Edge Platform
- SAP BTP Kyma
- SAP Enable Now Manager
- SAP Cloud for Customer (add-in para Lotus notes client)
- SAP Localization Hub, servicio de conformidad digital para la India
- SAP Edge Services en Premise Edition
- SAP Edge Services Cloud Edition
- SAP BTP API Management (Tenant Cloning Tool)
- SAP NetWeaver ABAP Server y ABAP Platform (Adobe LiveCycle Designer 11.0)
- SAP Digital Manufacturing Cloud para Edge Computing
- SAP Enterprise Continuous Testing by Tricentis
- SAP Cloud-to-Cloud Interoperability
- Reference Template for enabling ingestion y persistence of time series data in Azure
- SAP Business One
- SAP S/4HANA, versiones – 100, 101, 102, 103, 104, 105, 106
- SAP Business One, versión – 10
- SAP Enterprise Threat Detection, versión – 2.0
- SAP NetWeaver AS for ABAP y ABAP Platform, versiones – 701, 702, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 786
- SAP GRC Access Control, versiones – V1100_700, V1100_731, V1200_750
Recomendamos instalar las actualizaciones correspondientes provistas por SAP en el siguiente enlace:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-enero-2022
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
- https://vuldb.com/es/?id.187925
- https://cert.gov.py/application/files/5016/3916/5673/BOL-CERT-PY-2021-36_Java_libreria_Log4.pdf
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44235
- https://vuldb.com/es/?id.188152
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42066
- https://vuldb.com/es/?id.188158