Actualizaciones críticas de seguridad en SAP

Fecha de publicación:

10/09/2015

Importancia:

4 - Alta

Recursos afectados:

SAP HANA
SAP NetWeaver
SAP Foreign Trade

Descripción:

El pasado martes SAP ha publicado una actualización de seguridad que corrige 20 fallos de seguridad, de los cuales 16 son críticos. Además incluye actualizaciones para 5 fallos detectados con anterioridad.

Los fallos de seguridad detectados afectan a diferentes módulos, componentes y tecnologías. Entre estos afectan a SAP HANA, SAP Foreign Trade y SAP Netweaver.

Solución:

Insta a tu equipo técnico a actualizar o parchear todos sus productos de SAP, aplicando los parches publicados en esta actualización.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o sigue nuestro perfil de twitter @incibe. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle:

La actualización de seguridad incluye además de los 25 fallos de seguridad, 7 paquetes de soporte.

El fallo más común entre los detectados consiste en falta de chequeo de autorización, que permite acceder al servicio y utilizarlo sin estar autorizado.

Investigadores de la empresa de seguridad Onapsis han detectado un fallo crítico en SAP HANA que se corrige en esta actualización. Este fallo permitiría a un atacante tomar el control sobre el producto, pudiendo ver, editar e incluso borrar datos. Otro fallo en este producto permitiría la inyección de código en memoria, permitiendo tomar el control o provocar la indisponibilidad del sistema.

Los investigadores de ERPScan han detectado dos fallos críticos en SAP NetWeaver 7.4. Uno de estos fallos es una inyección de código SQL que consiste en que el atacante puede manipular una consulta SQL para recuperar o modificar datos de una base de datos. El otro fallo crítico permite el robo de información de autenticación (cookies, tokens de sesión y otra información crítica que se almacena en los navegadores) con la que suplantar a usuarios legítimos, por ejemplo a un administrador. Como los permisos de los administradores son extensos esto puede comprometer seriamente la seguridad de la aplicación.

Otros fallos detectados permitirán la divulgación de información privada, la ejecución de comandos del sistema operativo o el uso no autorizado de funcionalidades SAP específicas.

Referencias:

SAP Security Notes September 2015

Onapsis, Anaylzing SAP Security Notes September 2015

[ERPSCAN-15-022] SAP NetWeaver 7.4 – XSS

[ERPSCAN-15-021] SAP NetWeaver 7.4 BP_FIND_JOBS_WITH_PROGRAM – SQL Injection

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Accesos corporativos

Actualizaciones críticas de seguridad en SAP

Campaña de phishing que descarga malware en tu dispositivo simulando un proceso judicial

Campaña de distribución de phishing suplantando a la Agencia Tributaria

Vulnerabilidad detectada en routers TP-Link

Boletín mensual de Microsoft – marzo 2023

Nueva campaña de phishing que intenta suplantar a Booking para robar tus credenciales de correo electrónico