Actualizaciones de seguridad de marzo en productos SAP

Fecha de publicación 10/03/2021
Importancia
5 - Crítica
Recursos Afectados
  • SAP Solution Manager (User Experience Monitoring), versión 7.2;
  • SAP Business Client, versión 6.5;
  • SAP Manufacturing Integration and Intelligence, versiones 15.1, 15.2, 15.3, 15.4;
  • SAP HANA, versión 2.0;
  • SAP Enterprise Financial Services (Bank Customer Accounts), versiones 101, 102, 103, 104, 105, 600, 603, 604, 605, 606, 616, 617, 618, 800;
  • SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40, 7.50;
  • SAP NetWeaver Knowledge Management, versiones 7.01, 7.02, 7.30, 7.31, 7.40, 7.50;
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50;
  • SAP Payment Engine, versión 500;
  • SAP BusinessObjects Business Intelligence Platform (Web Services), versiones 410, 420, 430;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP ERP, versiones 600, 602, 603, 604, 605, 606, 616, 617, 618;
  • SAP S/4 HANA, versiones 100, 101, 102, 103, 104.
Descripción

SAP ha publicado el boletín de seguridad mensual de marzo en el que informa de varias vulnerabilidades de seguridad que están afectando a sus productos, algunas de ellas consideradas de carácter crítico. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

Solución

Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

Logo SAP

Entre las vulnerabilidades publicadas en el boletín de seguridad, destacan las siguientes, consideradas de carácter crítico:

  • La plataforma de operaciones de fabricación basada en web, SAP MII (Manufacturing Integration and Intelligence) permite a los usuarios crear y guardar cuadros de mando. Un atacante puede interceptar una solicitud, inyectar código malicioso y reenviarla al servidor. Cuando los usuarios con privilegios abren este cuadro de mando, el contenido malicioso en el panel se ejecuta, lo que lleva a la ejecución remota de código en el servidor. El código malicioso puede contener ciertos comandos del sistema operativo, a través de los cuales un atacante puede leer archivos confidenciales, modificar archivos o incluso eliminar contenido, comprometiendo así la confidencialidad, integridad y disponibilidad del servidor que aloja la aplicación.
  • Migration Service, presente en las versiones afectadas de SAP NetWeaver, no realiza una verificación de autorización, pudiendo permitir que un atacante no autorizado acceda a los objetos de configuración, incluidos los que otorgan privilegios administrativos. Esto podría resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT.

Línea de ayuda en ciberseguridad 017

Listado de referencias
SAP Security Patch Day March 2021: Critical Patch Released for SAP MII and SAP NetWeaver AS Java
SAP Security Patch Day – March 2021
Etiquetas