Inicio / Protege tu empresa / Avisos Seguridad / Actualizaciones de seguridad de marzo 2022 para productos SAP

Actualizaciones de seguridad de marzo 2022 para productos SAP


Fecha de publicación: 
09/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Web Dispatcher, versiones 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87,
  • SAP Content Server, versión 7.53,
  • SAP NetWeaver and ABAP Platform, versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22EXT, KRNL64NUC,
  • SAP Work Manager, versiones 6.4, 6.5 y 6.6,
  • SAP Inventory Manager, versiones 4.3 y 4.4,
  • Simple Diagnostics Agent
  • Fiori Launchpad, versiones 754, 755 y 756, • SAP-JEE, versión 6.40,
  • SAP-JEECOR, versiones 6.40, 7.00 y 7.01, • SERVERCORE, versiones 7.10, 7.11, 7.20, 7.30 y7.31,
  • SAPS/4HANA(Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer), versiones 104, 105 y 106,
  • SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50, • SAP Financial Consolidation, versión 10.1,
  • SAP NetWeaver Application Server for ABAP, versiones 700, 701, 702 y 731, • SAP Focused Run, versiones 200 y 300,
  • Simple Diagnostics Agent, versiones superiores e incluyendo la 1.0 y anteriores a la 1.58,
  • SAP Business Objects Business Intelligence Platform, versión 420 y 430,
  • SAPCAR, versión 7.22,
  • SAP NetWeaver AS JAVA (Portal Basis), versión 7.50.
Descripción: 

SAP ha publicado el boletín de marzo de 2022 con 17 parches de seguridad, nuevos o actualizados, para sus productos, algunos de las cuales resuelven vulnerabilidades de severidad alta y crítica. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

Solución: 

Aplicar los parches de seguridad publicados por SAP desde la página oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle: 

Logo SAP

En el boletín de seguridad de este mes se corrigen o actualizan varias vulnerabilidades críticas. Una de las vulnerabilidades críticas parcheadas corresponde a la vulnerabilidad de Log4j que afecta a SAP Work Manager, SAP Inventory Manager que se ejecutan en instalaciones locales de la plataforma SMP (SAP Mobile Platform).

Los parches de Log4j aún están pendientes para:

  • Aplicaciones de clientes en BTP Cloud Foundry Environment,
  • SAP Commerce Cloud (en Public Cloud),
  • SAP Commerce Cloud (en SAP Infrastructure V1.0 y V1.2),
  • SAP Commerce (on-premise) y SAP Contact Center 7.0

Otra vulnerabilidad crítica parcheada consiste en una falta de autenticación en el agente SAP Simple Diagnostics que permite a un atacante acceder a funcionalidades administrativas u otras funcionalidades con privilegios y leer, modificar o borrar información y configuraciones sensibles, pudiendo llevar a un compromiso completo del sistema afectado. Para parchear la vulnerabilidad, los clientes de SAP deben actualizar tanto el agente de SAP Simple Diagnostics como el agente de SAP Host.

Otra vulnerabilidad crítica corregida es un fallo de Cross-Site Scripting (XSS) o ‘secuencias de comandos en sitios cruzados’ en SAP Fiori que permite a un atacante no autenticado manipular un parámetro para inyectar código HTML y crear un enlace. Si el usuario hace clic en el enlace, el atacante puede apropiarse de los privilegios del usuario y utilizarlos para exfiltrar datos y elaborar un ataque CSRF (Cross Site Request Forgery) o ‘falsificación de petición en sitios cruzados’ para manipular los datos.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de  INCIBE-CERT.

Línea de ayuda en ciberseguridad 017