Accesos corporativos
Actualizaciones de seguridad de marzo en productos SAP
Fecha de publicación:
10/03/2021
Importancia:
5 -
Crítica
Recursos afectados:
- SAP Solution Manager (User Experience Monitoring), versión 7.2;
- SAP Business Client, versión 6.5;
- SAP Manufacturing Integration and Intelligence, versiones 15.1, 15.2, 15.3, 15.4;
- SAP HANA, versión 2.0;
- SAP Enterprise Financial Services (Bank Customer Accounts), versiones 101, 102, 103, 104, 105, 600, 603, 604, 605, 606, 616, 617, 618, 800;
- SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40, 7.50;
- SAP NetWeaver Knowledge Management, versiones 7.01, 7.02, 7.30, 7.31, 7.40, 7.50;
- SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50;
- SAP Payment Engine, versión 500;
- SAP BusinessObjects Business Intelligence Platform (Web Services), versiones 410, 420, 430;
- SAP 3D Visual Enterprise Viewer, versión 9;
- SAP ERP, versiones 600, 602, 603, 604, 605, 606, 616, 617, 618;
- SAP S/4 HANA, versiones 100, 101, 102, 103, 104.
Descripción:
SAP ha publicado el boletín de seguridad mensual de marzo en el que informa de varias vulnerabilidades de seguridad que están afectando a sus productos, algunas de ellas consideradas de carácter crítico. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.
Solución:
Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte, según las indicaciones del fabricante.
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:
- Política de actualizaciones de software
- Minimiza los riesgos de un ataque: ¡actualiza el software!
- Buenas prácticas en el área de informática
- Evalúa los riesgos de tu empresa en tan solo 5 minutos
- Cómo prevenir incidentes en los que intervienen dispositivos móviles
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017.
Detalle:
Entre las vulnerabilidades publicadas en el boletín de seguridad, destacan las siguientes, consideradas de carácter crítico:
- La plataforma de operaciones de fabricación basada en web, SAP MII (Manufacturing Integration and Intelligence) permite a los usuarios crear y guardar cuadros de mando. Un atacante puede interceptar una solicitud, inyectar código malicioso y reenviarla al servidor. Cuando los usuarios con privilegios abren este cuadro de mando, el contenido malicioso en el panel se ejecuta, lo que lleva a la ejecución remota de código en el servidor. El código malicioso puede contener ciertos comandos del sistema operativo, a través de los cuales un atacante puede leer archivos confidenciales, modificar archivos o incluso eliminar contenido, comprometiendo así la confidencialidad, integridad y disponibilidad del servidor que aloja la aplicación.
- Migration Service, presente en las versiones afectadas de SAP NetWeaver, no realiza una verificación de autorización, pudiendo permitir que un atacante no autorizado acceda a los objetos de configuración, incluidos los que otorgan privilegios administrativos. Esto podría resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema.
Se recomienda encarecidamente la actualización de los mencionados productos a la última versión disponible facilitada por el fabricante.
Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT.
Referencias:
Etiquetas: