SAP ha lanzado su informe de parches de seguridad correspondiente a agosto de 2024, que solucionan 17 nuevas vulnerabilidades descubiertas en productos SAP, 2 de ellas de severidad crítica, 4 de severidad alta y el resto de severidad media.
Productos Afectados
- SAP BusinessObjects (Business Intelligence Platform): versiones ENTERPRISE 430, 440.
- SAP Build Apps: versiones anteriores a la 4.11.130.
- SAP BEx Web Java Runtime Export Web Service: versiones BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5, BIWEBAPP 7.5.
- SAP S/4 HANA, Library Versions: versiones de SheetJS CE anteriores a la 0.19.3.
- SAP NetWeaver AS Java, Version – MMR_SERVER 7.5
- SAP Commerce Cloud: versiones HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205, COM_CLOUD 2211.
Impacto
Las vulnerabilidades de severidad críticas se identifican como:
- CVE-2024-41730, con una puntuación en CVSSv3 de 9.8, En SAP BusinessObjects Business Intelligence Platform, si se habilita el inicio de sesión único en la autenticación empresarial, un usuario no autorizado puede obtener un token de inicio de sesión mediante un punto de conexión REST. Un actor malicioso puede comprometer por completo el sistema, lo que tiene un gran impacto en la confidencialidad, la integridad y la disponibilidad.
- CVE-2024-29415, con una puntuación en CVSSv3 de 9.1, podría ser explotada por atacantes para ejecutar comandos maliciosos con los mismos privilegios que el proceso comprometido, lo que podría llevar a la toma de control total del sistema. La explotación exitosa de esta vulnerabilidad no requiere autenticación previa, lo que la hace especialmente peligrosa.
Las vulnerabilidades de severidad alta se identifican como:
- CVE-2024-42374, con una puntuación en CVSSv3 de 8.2. El servicio web de exportación de BEx Web Java Runtime no valida de forma suficiente un documento XML aceptado de una fuente no confiable. Un actor malicioso podría recuperar información del sistema SAP ADS y agotar el servicio XMLForm, lo que hace que la representación de SAP ADS (creación de PDF) no esté disponible. Esto afecta la confidencialidad y disponibilidad de la aplicación.
- CVE-2023-30533, con una puntuación en CVSSv3 de 7.8, permitiría la divulgación no autorizada de información sensible. Un actor malicioso podría aprovechar esta vulnerabilidad para acceder a datos confidenciales almacenados en el sistema, sin necesidad de privilegios elevados. La explotación de esta falla podría comprometer la integridad y confidencialidad de la información crítica para las operaciones de la organización. Es esencial que las organizaciones afectadas implementen las actualizaciones de seguridad recomendadas por SAP para evitar posibles brechas de datos.
- CVE-2024-34688, CVE-2024-34688, con una puntuación en CVSSv3 de 7.5, Es una vulnerabilidad que se debe al acceso sin restricciones a los servicios del repositorio de metamodelos en SAP NetWeaver AS Java. Esta falla permite realizar un ataque de Denegación de Servicio (DoS) en la aplicación, lo que puede impedir que los usuarios legítimos accedan a ella.
- CVE-2024-33003, con una puntuación en CVSSv3 de 7.4. Algunos puntos finales de la API de OCC en SAP Commerce Cloud permiten que los datos de información de identificación personal (PII), como contraseñas, direcciones de correo electrónico, números de teléfono móvil, códigos de cupones y códigos de vales, se incluyan en la URL de solicitud como parámetros de consulta o ruta. Si se explota con éxito, esto podría generar un alto impacto en la confidencialidad y la integridad de la aplicación.
Recomendación
- SAP recomienda aplicar los parches de seguridad que resuelven las vulnerabilidades encontradas para proteger el entorno SAP. Considerar realizar las descargas únicamente desde sitios web oficiales.
Referencias
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html