• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Actualización de seguridad de SAP de Septiembre 2018

12/09/2018

=============================================
ACTUALIZACIÓN
Fecha de lanzamiento: 12/09/2018
Gravedad: Alta
=============================================

VULNERABILIDAD

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

INFORMACIÓN

SAP Business Suite es un conjunto de programas que permiten a las empresas ejecutar y optimizar distintos aspectos como los sistemas de ventas, finanzas, operaciones bancarias, compras, fabricación, inventarios y relaciones con los clientes. Ofrece la posibilidad de realizar procesos específicos de la empresa o crear módulos independientes para funcionar con otro software de SAP o de otros proveedores. SAP está basado en una plataforma de tecnología integrada llamada NetWeaver.​ La suite puede soportar sistemas operativos, bases de datos, aplicaciones y componentes de hardware de casi cualquier proveedor.

DESCRIPCIÓN

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, de las cuales 1 es una actualización de una nota de seguridad publicada con anterioridad, 3 de severidad alta, 9 de de severidad media y 1 de severidad baja.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

- 1 vulnerabilidad de denegación de servicio
- 3 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de falta de comprobación de autorización
- 2 vulnerabilidades de Cross-Site Scripting
- 2 vulnerabilidades de incorrecta validación de XML
- 3 vulnerabilidades de otras tipologías

Las vulnerabilidades más relevantes son las siguientes:

- La vulnerabilidad de divulgación de información en SAP Business ONE y SAP HANA, podría permitir a un atacante revelar información adicional (datos del sistema, información de depuración, etc.) que ayudaría a aprender sobre un sistema y planificar otros ataques. Esto podría desembocar en la divulgación de información, escalamiento de privilegios y otros ataques. Se ha asignado el código CVE-2018-2458 para esta vulnerabilidad.

- Un atacante puede utilizar la vulnerabilidad de incorrecta validación de XML, presente en SAP BEx Web Java Runtime Export Web Service, para enviar solicitudes XML especialmente diseñadas y no autorizadas que serían procesadas por el analizador XML. El atacante obtendría acceso no autorizado al sistema de archivos del SO. Se ha asignado el código CVE-2018-2462 para esta vulnerabilidad.

- Una vulnerabilidad de falta de comprobación de autorizacion en SAP ECC Sales Support podría permitir a un atacante el acceso a un servicio sin necesidad de autorización y emplear funciones de servicio con acceso restringido. Esto puede desembocar en la divulgación de información, escalado de privilegios y otros ataques.

SISTEMAS AFECTADOS

- SAP Business Client, versión 6.5
- SAP Business One, versiones 9.2 y 9.3
- SAP NetWeaver BI, versiones 7.30,7.31,7.40,7.41 y 7.50
- SAP HANA, versiones 1.0 y 2.0
- SAP WebDynpro, versiones 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS Java, versiones de la 7.10 a la 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Hybris Commerce, versiones 6.*
- SAP Plant Connectivity, versión 15.0
- SAP Adaptive Server Enterprise, versión 16.0
- SAP HCM Fiori "People Profile" (GBX01HR), versión 6.0
- SAP Mobile Platform, versión 3.0
- SAP Enterprise Financial Services, versión 6.05, 6.06, 6.16, 6.17, 6.18, 8.0
- SAP Business One Android application, versión 1.2

SOLUCIÓN

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

FUENTE

https://www.certsi.es/