Nivel de peligrosidad: CRÍTICO.
SAP ha publicado su aviso de seguridad correspondiente al mes de octubre con 9 notas de seguridad y 3 actualizaciones sobre avisos publicados en meses anteriores. En estas 9 notas se han abordado 4 vulnerabilidades que han sido catalogadas como críticas.
SAP ya ha publicado los correspondientes parches y actualizaciones para corregir estas vulnerabilidades en los productos afectados. Estos fallos de seguridad registrados podrían permitir a un atacante llevar a cabo una inyección de código SQL, control de acceso inadecuado, ejecutar código arbitrario y obtener un acceso ilegítimo al sistema comprometido.
|
CVE |
Descripción |
Producto afectado |
|
CVE-2023-0016 |
Vulnerabilidad que existe debido a la posibilidad que adquiere un atacante no autorizado de ejecutar consultas en bases de datos. Este error puede derivar en la inyección SQL, permitiendo a un atacante remoto acceder, modificar y eliminar información de la base de datos. |
SAP Business Planning and Consolidations MS |
|
CVE-2023-0022 |
Vulnerabilidad que permite a un atacante autenticado inyectar código malicioso que puede ser ejecutado por la aplicación mediante la red. Este fallo puede suponer un impacto total contra la confidencialidad, integridad y disponibilidad del sistema vulnerable, resultando en un compromiso completo del dispositivo afectado. |
SAP BusinessObjects Business Intelligence Analysis (for OLAP) |
|
CVE-2023-0017 |
Vulnerabilidad que existe debido a un control de acceso inadecuado, proporcionando la capacidad de conectarse a una interfaz abierta y hacer uso de una API y distintos directorios para realizar operaciones no autorizadas que afecten a los usuarios y a los datos del sistema comprometido. Este error puede resultar en el acceso a la información del usuario, realizar modificaciones en los datos y hacer que los servicios dentro del sistema no estén disponibles. |
SAP Netweaver AS for Java |
|
CVE-2023-0014 |
Vulnerabilidad que crea información sobre el sistema en un formato ambiguo. Este fallo puede resultar en un capture-replay error, permitiendo a un atacante remoto no autorizado obtener un acceso ilegítimo al sistema. |
SAP NetWeaver AS for ABAP and ABAP Platform |
La base de datos del NIST ha registrado estas vulnerabilidades y les ha asignado una puntuación según la escala CVSSv3, No obstante, el fabricante ha clasificado las vulnerabilidades destacadas con una severidad crítica. Hasta la fecha no se conoce actividad dañina en la red ni la disponibilidad de exploits que aprovechen estas vulnerabilidades, así como tampoco se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.
Recursos afectados:
Las vulnerabilidades reportadas afectan a los siguientes productos de SAP:
- SAP Business Planning and Consolidation MS 10.0 - Versiones 800 y 810
- SAP Netweaver AS for Java - Versión 7.50
- SAP BusinessObjects Business Intelligence platform (analysis edition for OLAP) - Versiones 420 y 430
- SAP Netweaver AS for ABAP and ABAP Platform - Versiones SAP_BASIS 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, KERNEL 7.22, 7.53, 7.77, 7.81, 7.85, 7.89, KRNL64UC 7.22, 7.22EXT, 7.53, KRNL64NUC 7.22 y 7.22EXT
Solución a las vulnerabilidades:
SAP ya ha publicado los parches y actualizaciones de cada producto afectado por las vulnerabilidades publicadas en su informe correspondiente al mes de enero. Para poder realizar la descarga y aplicar las correcciones es necesario acceder al portal de soporte de SAP:
Recomendaciones:
El servicio de Cyberthreats de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se han detectado medidas de mitigación alternativas a las actualizaciones ofrecidas por el fabricante para solucionar las vulnerabilidades.
Referencias:
