Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Fecha de publicación: 13/01/2021

Importancia: Crítica

Recursos afectados:

• SAP Business Client, versión 6.5;
• SAP Business Warehouse, versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 782;
• SAP BW4HANA, versiones 100 y 200;
• SAP NetWeaver AS JAVA, versiones 7.20, 7.30, 7.31, 7.40 y 7.50;
• Automated Note Search Tool (SAP Basis), versiones 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 y 7.54;
• SAP NetWeaver AS Java (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Commerce Cloud, versiones 1808, 1811, 1905, 2005 y 2011;
• SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface), versiones 410 y 420;
• SAP Master Data Governance, versiones 748, 749, 750, 751, 752, 800, 801, 802, 803 y 804;
• SAP NetWeaver AS JAVA (Key Storage Service), versiones 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 y 7.50;
• SAP GUI FOR WINDOWS, versión 7.60;
• SAP NetWeaver Master Data Management, versiones 7.10, 7.10.750 y 710;
• SAP 3D Visual Enterprise Viewer, versión 9.0;
• SAP Banking Services (Generic Market Data), versiones 400, 450 y 500;
• SAP EPM ADD-IN, versiones 2.8 y 1010;

Descripción:

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Para la vulnerabilidad CVE-2021-21465, SAP ha resuelto el problema desactivando el módulo de funciones, por lo que afectará a cualquier aplicación que haga una llamada a este módulo.

Detalle:

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 7 actualizaciones de notas anteriores, siendo 5 de las nuevas notas de severidad crítica, 1 alta, 10 medias y 1 baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

• 2 vulnerabilidades de inyección de código,
• 1 vulnerabilidad de denegación de servicio,
• 3 vulnerabilidades de divulgación de información,
• 4 vulnerabilidades de falta de comprobación de autorización,
• 16 vulnerabilidades de ausencia de validación de entrada,
• 1 vulnerabilidad de inyección SQL,
• 6 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

• Una validación de entrada insuficiente en SAP Business Warehouse y en SAP BW4HANA, podría permitir a un atacante, con pocos privilegios, inyectar código malicioso que se almacena de forma persistente como un informe. Este informe podría ser ejecutado posteriormente dando lugar a situaciones con un alto impacto negativo en la confidencialidad, la integridad y la disponibilidad del sistema afectado (y tal vez también de los sistemas conectados). Se ha asignado el identificador CVE-2021-21466 para esta vulnerabilidad.

• Una sanitización inadecuada de los comandos SQL en la interfaz de la base de datos de SAP BW, podría permitir a un atacante ejecutar comandos SQL arbitrarios en la base de datos, lo que podría llevar a un compromiso total del sistema afectado. Se ha asignado el identificador CVE-2021-21465 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores:

CVE-2020-26838, CVE-2020-26820, CVE-2021-21446, CVE-2020-6307, CVE-2020-6224, CVE-2021-21445, CVE-2021-21447, CVE-2020-6256, CVE-2020-26816, CVE-2021-21448, CVE-2021-21469, CVE-2021-21449, CVE-2021-21457, CVE-2021-21458, CVE-2021-21459, CVE-2021-21450, CVE-2021-21451, CVE-2021-21452, CVE-2021-21453, CVE-2021-21454, CVE-2021-21455, CVE-2021-21456, CVE-2021-21460, CVE-2021-21461, CVE-2021-21462, CVE-2021-21463, CVE-2021-21464, CVE-2021-21467 y CVE-2021-21470.

Etiquetas: Actualización, SAP, Vulnerabilidad