Nivel de Criticidad: Alto
- CVE-2019-0304: Se ha detectado un error de tipo code injection en la función FTP de la plataforma SAP NetWeaver AS ABAP que permite a un atacante inyectar código o comandos manipulados específicamente con el fin de controlar el funcionamiento de esta. Asimismo, permitiría obtener información que podría ser usada en futuros ataques u ocasionar una denegación de servicio. La base de datos del NIST ha puntuado la vulnerabilidad con 7.5 un según la escala CVSSv2. Esto se debe a que el fallo es explotable de forma remota, con una complejidad baja, no se requiere autenticación alguna y, además, un ataque exitoso produciría un impacto parcial. Hasta el momento no se ha detectado la existencia de exploits ni actividad maliciosa en la red relacionada.
Junto con esta vulnerabilidad, en el aviso publicado por el fabricante, aparecen múltiples vulnerabilidades, todas ellas menores de 7 exceptuando las siguientes: CVE-2019-0303 y CVE-2019-0316, a las que el NIST aún no ha otorgado puntuación alguna. No obstante, el fabricante les otorga una puntuación de 6.1 y 4.8, respectivamente, según su propio criterio.
- CVE-2019-0303: Ha sido detectada una vulnerabilidad, de tipo Cross-Site Scripting (XSS), en SAP BusinessObjects Business Intelligence Platform, concretamente en el módulo BILogon/appService.jsp cuando refleja sin saneamiento los parámetros solicitados en el contenido de una respuesta. Esto podría ser usado por un atacante para construir una url especial que ejecute código JavaScript personalizado cuando se accede a la url.
- CVE-2019-0316: Se ha descubierto un error, de tipo Cross-Site Scripting (XSS), en la integración de procesos SAP cuando no se validan suficientemente las entradas controladas por el usuario, lo que permite a un atacante que posee privilegios de administrador leer y modificar datos desde el navegador de la víctima, inyectando scripts maliciosos en ciertos servlets (clase en el lenguaje de programación Java, utilizada para ampliar las capacidades de un servidor), los cuales serán ejecutados cuando la víctima haga clic en dichos enlaces maliciosos.
Recursos afectados:
La vulnerabilidad CVE-2019-0304 afecta a las siguientes versiones:
- SAP NetWeaver ABAP KRNL64UC 7.21
- SAP NetWeaver ABAP KRNL64NUC 7.21
- SAP NetWeaver ABAP KRNL32UC 7.21
- SAP NetWeaver ABAP KRNL32NUC 7.21
- SAP NetWeaver ABAP 7.73
- SAP NetWeaver ABAP 7.53
- SAP NetWeaver ABAP 7.49
- SAP NetWeaver ABAP 7.45
- SAP NetWeaver ABAP 7.22EXT
- SAP NetWeaver ABAP 7.22
- SAP NetWeaver ABAP 7.21EXT
La vulnerabilidad CVE-2019-0303 en SAP Business Objects Business Intelligence Platform (Administration Console) afecta a las siguientes versiones:
- 4.2
- 4.3
La vulnerabilidad CVE-2019-0316 en SAP NetWeaver Process Integration, afecta a las siguientes versiones:
- SAP_XIESR: 7.20,
- SAP_XITOOL: 7.10 to 7.11,
- 7.30
- 7.31
- 7.40
- 7.50
Recomendaciones:
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Para solucionar las vulnerabilidades, SAP recomienda encarecidamente que el cliente visite el Portal de soporte y aplique los parches disponibles para proteger su entorno SAP. Se requiere de acceso con credenciales de usuario para acceder a dichos parches.
Referencias:
