Vulnerabilidades K2

Contacto

Martes, 25 Febrero 2020 09:03

Vulnerabilidades en SAP

El CERT de Entelgy Innotec Security avisa de la publicación de vulnerabilidades en SAP.

Nivel de Criticidad: ALTO

El boletín de seguridad publicado por SAP correspondiente al mes de febrero de 2020, corrige trece vulnerabilidades; dos de ellas de criticidad alta y once con puntuación por debajo de 7.0 (según la escala CVSSv2 de la base de datos del NIST), además de dos actualizaciones de Notas de Seguridad publicadas en Patch Days anteriores. A continuación, se describen las vulnerabilidades que han recibido una criticidad alta.

CVE-2020-6191 y CVE-2020-6192. Vulnerabilidades encontradas en SAP Landscape Management, plataforma de gestión para la automatización de tareas de administrativas. El fallo reside en algunas partes y funciones desconocidas del componente Host Agent. La manipulación con una entrada desconocida puede generar que un atacante realice una escalada de privilegios.

Las vulnerabilidades CVE-2020-6191 y CVE-2020-6192 han recibido una puntuación de 9.0 según la escala CVSSv2 de la base de datos del NIST. Esto es debido a que el fallo es explotable de forma remota, con una complejidad baja y un ataque exitoso supondría un impacto completo. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar estas vulnerabilidades ni actividad en la red relacionada.

Recursos afectados

Ambas vulnerabilidades CVE-2020-6191 y CVE-2020-6192 afectan a:

  • SAP LANDSCAPE MANAGEMENT 3.0

 

Solución a la vulnerabilidad

Para solucionar la vulnerabilidad, SAP recomienda encarecidamente que el cliente visite el Portal de soporte y aplique los parches disponibles para proteger su entorno SAP. Se requiere de acceso con credenciales de usuario para acceder a dichos parches.

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas.

Referencias

 SAP Security Patch Day - February 2020

S5 Box