Instituto Nacional de ciberseguridad. Sección Incibe

Avisos INCIBE-CERT 20230913

Actualización de seguridad de SAP de abril de 2023

Fecha12/04/2023
Importancia5 - Crítica
Recursos Afectados
  • SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector), versión 720.
  • SAP BusinessObjects Business Intelligence Platform (Promotion Management, versiones 420 y 430.
  • SAP NetWeaver (BI CONT ADDON), versiones 707, 737, 747 y 757.

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Abril 2023.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crítica, 1 de severidad alta y el resto medias y bajas.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • omisión de autenticación,
  • validación de entrada insuficiente,
  • divulgación de información,
  • limitación incorrecta de la ruta a un directorio restringido.

Dos de las vulnerabilidades críticas afectan a SAP Diagnostics Agent y permiten que un usuario no autenticado ejecute scripts en todos los agentes de diagnóstico conectados a SAP SolutionManager. Junto con una validación de entrada insuficiente, los atacantes podrían ejecutar comandos maliciosos en todos los sistemas SAP monitoreados, lo que tendría un gran impacto en su confidencialidad, integridad y disponibilidad. Se ha asignado el identificador CVE-2023-27497 a estas vulnerabilidades.

Otra de las vulnerabilidades críticas afecta a SAP BusinessObjects Business Intelligence Platform (gestión de promociones), que tras de descifrar con éxito su contenido, el atacante podría obtener acceso a las contraseñas de los usuarios de BI. Dependiendo de las autorizaciones del usuario suplantado, un atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2023-28765 a esta vulnerabilidad.

Encuesta valoración