• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Actualización de seguridad de SAP de Septiembre 2018
    12/09/2018
    =============================================
    ACTUALIZACIÓN
    Fecha de lanzamiento: 12/09/2018
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    SAP Business Suite es un conjunto de programas que permiten a las empresas ejecutar y optimizar distintos aspectos como los sistemas de ventas, finanzas, operaciones bancarias, compras, fabricación, inventarios y relaciones con los clientes. Ofrece la posibilidad de realizar procesos específicos de la empresa o crear módulos independientes para funcionar con otro software de SAP o de otros proveedores. SAP está basado en una plataforma de tecnología integrada llamada NetWeaver.​ La suite puede soportar sistemas operativos, bases de datos, aplicaciones y componentes de hardware de casi cualquier proveedor.

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, de las cuales 1 es una actualización de una nota de seguridad publicada con anterioridad, 3 de severidad alta, 9 de de severidad media y 1 de severidad baja.

    El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

    - 1 vulnerabilidad de denegación de servicio
    - 3 vulnerabilidades de divulgación de información
    - 3 vulnerabilidades de falta de comprobación de autorización
    - 2 vulnerabilidades de Cross-Site Scripting
    - 2 vulnerabilidades de incorrecta validación de XML
    - 3 vulnerabilidades de otras tipologías

    Las vulnerabilidades más relevantes son las siguientes:

    - La vulnerabilidad de divulgación de información en SAP Business ONE y SAP HANA, podría permitir a un atacante revelar información adicional (datos del sistema, información de depuración, etc.) que ayudaría a aprender sobre un sistema y planificar otros ataques. Esto podría desembocar en la divulgación de información, escalamiento de privilegios y otros ataques. Se ha asignado el código CVE-2018-2458 para esta vulnerabilidad.

    - Un atacante puede utilizar la vulnerabilidad de incorrecta validación de XML, presente en SAP BEx Web Java Runtime Export Web Service, para enviar solicitudes XML especialmente diseñadas y no autorizadas que serían procesadas por el analizador XML. El atacante obtendría acceso no autorizado al sistema de archivos del SO. Se ha asignado el código CVE-2018-2462 para esta vulnerabilidad.

    - Una vulnerabilidad de falta de comprobación de autorizacion en SAP ECC Sales Support podría permitir a un atacante el acceso a un servicio sin necesidad de autorización y emplear funciones de servicio con acceso restringido. Esto puede desembocar en la divulgación de información, escalado de privilegios y otros ataques.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    - SAP Business Client, versión 6.5
    - SAP Business One, versiones 9.2 y 9.3
    - SAP NetWeaver BI, versiones 7.30,7.31,7.40,7.41 y 7.50
    - SAP HANA, versiones 1.0 y 2.0
    - SAP WebDynpro, versiones 7.20, 7.30, 7.31, 7.40, 7.50
    - SAP NetWeaver AS Java, versiones de la 7.10 a la 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
    - SAP Hybris Commerce, versiones 6.*
    - SAP Plant Connectivity, versión 15.0
    - SAP Adaptive Server Enterprise, versión 16.0
    - SAP HCM Fiori "People Profile" (GBX01HR), versión 6.0
    - SAP Mobile Platform, versión 3.0
    - SAP Enterprise Financial Services, versión 6.05, 6.06, 6.16, 6.17, 6.18, 8.0
    - SAP Business One Android application, versión 1.2

    SOLUCIÓN
    --------------------------------------------------------------------------------

    Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

    FUENTE
    --------------------------------------------------------------------------------

    https://www.certsi.es/