Inicio / Protege tu empresa / Avisos Seguridad / Actualizaciones de seguridad de septiembre en productos SAP

Actualizaciones de seguridad de septiembre en productos SAP

Fecha de publicación: 
15/09/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP 3D Visual Enterprise Viewer, version 9.0
  • SAP Analysis for Microsoft Office, version 2.8
  • SAP Business Client, versiones 6.5, 7.0 y 7.70
  • SAP Business One, versión 10.0
  • SAP BusinessObjects Business Intelligence Platform (BI Workspace), versión 420
  • SAP Contact Center, versión 700
  • SAP ERP Financial Accounting (RFOPENPOSTING_FR), versiones SAP_APPL - 600, 602, 603, 604, 605, 606, 616, SAP_FIN - 617, 618, 700, 720, 730, SAPSCORE - 125, S4CORE, 100, 101, 102, 103, 104, 105
  • SAP NetWeaver Application Server Java (JMS Connector Service), versiones 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP NetWeaver Knowledge Management XML Forms, versiones 7.10, 7.11, 7.30, 7.31, 7.40, 7.50
  • SAP S/4HANA, versiones 1511, 1610, 1709, 1809, 1909, 2020, 2021
  • SAP Web Dispatcher, versiones WEBDISP - 7.49, 7.53, 7.77, 7.81, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC -7.22, 7.22EXT, 7.49, 7.53, KERNEL -7.22, 7.49, 7.53, 7.77, 7.81, 7.83
  • SAP CommonCryptoLib, versiones 8.5.38 o anteriores
  • SAP NetWeaver (Visual Composer 7.0 RT), versiones 7.30, 7.31, 7.40, 7.50
  • SAP Landscape Transformation, versión 2.0
  • SAP LT Replication Server, versiones 2.0, 3.0
  • SAP LTRS for S/4HANA, versión 1.0
  • SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP Test Data Migration Server, versión 4.0
Descripción: 

SAP ha publicado el boletín de seguridad mensual de septiembre en el que informa de varias vulnerabilidades de seguridad que están afectando a sus productos, siendo siete de ellas consideradas de carácter crítico (dos actualizaciones) y dos de severidad alta. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

Solución: 

Aplicar los parches de seguridad publicados por SAP desde la página web oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE en el teléfono 017, a través de nuestros canales de mensajería instantánea en WhatsApp (900 116 117) y Telegram (@INCIBE017) o mediante el formulario web.

Detalle: 

Logo SAP

Entre las vulnerabilidades publicadas en el boletín de seguridad de este mes destacan las consideradas de carácter crítico:

  • La vulnerabilidad más crítica es del tipo ‘falta de verificación de autorización’ en el servicio Java Message Service (JMS) de SAP NetWeaver AS JAVA. El servicio JMS es un sistema de mensajería empresarial que proporciona un mecanismo para que las aplicaciones comerciales intercambien datos sin necesidad de conectarse directamente. La comunicación se realiza mediante mensajes punto a punto o del tipo publicación-suscripción. De no instalar el parche, los datos restringidos corren el riesgo de ser leídos, actualizados o eliminados.
  • Otra vulnerabilidad crítica afecta a SAP NetWeaver Knowledge Management (SAP KM). Se trata de una vulnerabilidad en el módulo XSLT que permite a un atacante autenticado, no administrativo, crear un archivo de hoja de estilo XSL malicioso que contiene un script con comandos de nivel de sistema operativo, copiarlo en una ubicación para que el sistema acceda a él y luego activar el motor XSLT mediante otro archivo, para ejecutar el script contenido en el archivo XSL malicioso.
  • También hay una vulnerabilidad que afecta a SAP Visual Composer, una herramienta que permite a los diseñadores de procesos de negocio modelar aplicaciones y prototipos sin escribir código. Se trata de una vulnerabilidad de ‘carga de archivos sin restricciones’. Un usuario sin permisos de administrador puede cargar un archivo malicioso en una red y activar su procesamiento, pudiendo ejecutar comandos del sistema operativo con privilegios. Los atacantes podrían leer y modificar cualquier información en el servidor o apagar el servidor, dejándolo no disponible.
  • Otra de las vulnerabilidades es del tipo SQL Injection que afecta a los módulos que manejan el método Near Zero DownTime (NZDT) para reducir el tiempo de inactividad del sistema. Una desinfección incorrecta de datos de entrada permite que un usuario autenticado con ciertos privilegios llame de forma remota a estos módulos y ejecute consultas manipuladas para obtener acceso a la base de datos de backend. El parche desactiva total o parcialmente estos módulos.
  • Otras vulnerabilidades críticas son del tipo ‘OS Command Injection’ o inyección de comandos de SO y ‘Reflected Cross-Site Scripting’ o secuencia de comandos en sitios cruzados reflejada y afectan a la aplicación de chat de SAP Contact Center. Un atacante podría inyectar un script malicioso en un mensaje de chat. Cuando los destinatarios del chat aceptan el mensaje, el script se ejecuta en su ámbito. El atacante puede ejecutar comandos a nivel del sistema operativo en el ámbito de los destinatarios del chat. Según SAP, esto podría llevar a un compromiso total de su confidencialidad e integridad, y también podría afectar temporalmente a su disponibilidad.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017