Inicio / Protege tu empresa / Avisos Seguridad / Actualizaciones de seguridad de marzo en productos SAP

Actualizaciones de seguridad de marzo en productos SAP


Fecha de publicación: 
10/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Solution Manager (User Experience Monitoring), versión 7.2;
  • SAP Business Client, versión 6.5;
  • SAP Manufacturing Integration and Intelligence, versiones 15.1, 15.2, 15.3, 15.4;
  • SAP HANA, versión 2.0;
  • SAP Enterprise Financial Services (Bank Customer Accounts), versiones 101, 102, 103, 104, 105, 600, 603, 604, 605, 606, 616, 617, 618, 800;
  • SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40, 7.50;
  • SAP NetWeaver Knowledge Management, versiones 7.01, 7.02, 7.30, 7.31, 7.40, 7.50;
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50;
  • SAP Payment Engine, versión 500;
  • SAP BusinessObjects Business Intelligence Platform (Web Services), versiones 410, 420, 430;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP ERP, versiones 600, 602, 603, 604, 605, 606, 616, 617, 618;
  • SAP S/4 HANA, versiones 100, 101, 102, 103, 104.
Descripción: 

SAP ha publicado el boletín de seguridad mensual de marzo en el que informa de varias vulnerabilidades de seguridad que están afectando a sus productos, algunas de ellas consideradas de carácter crítico. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

Solución: 

Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle: 

Logo SAP

Entre las vulnerabilidades publicadas en el boletín de seguridad, destacan las siguientes, consideradas de carácter crítico:

  • La plataforma de operaciones de fabricación basada en web, SAP MII (Manufacturing Integration and Intelligence) permite a los usuarios crear y guardar cuadros de mando. Un atacante puede interceptar una solicitud, inyectar código malicioso y reenviarla al servidor. Cuando los usuarios con privilegios abren este cuadro de mando, el contenido malicioso en el panel se ejecuta, lo que lleva a la ejecución remota de código en el servidor. El código malicioso puede contener ciertos comandos del sistema operativo, a través de los cuales un atacante puede leer archivos confidenciales, modificar archivos o incluso eliminar contenido, comprometiendo así la confidencialidad, integridad y disponibilidad del servidor que aloja la aplicación.
  • Migration Service, presente en las versiones afectadas de SAP NetWeaver, no realiza una verificación de autorización, pudiendo permitir que un atacante no autorizado acceda a los objetos de configuración, incluidos los que otorgan privilegios administrativos. Esto podría resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT.

Línea de ayuda en ciberseguridad 017