Alerta Masiva de Ciberseguridad por actualizaciones de Seguridad de SAP de noviembre de 2021

  • 15/11/2021
  • 151
Alerta Masiva de Ciberseguridad por actualizaciones de Seguridad de SAP de noviembre de 2021

Con fecha 10 de noviembre del 2021 la compañía alemana SAP (System Applications and Products in Data Processing), en su comunicado mensual de parches de seguridad, ha emitido un total de 5 notas de seguridad y 2 actualizaciones de notas anteriores. Siendo una de severidad crítica, dos de severidad alta y cuatro de severidad media. Los tipos de vulnerabilidades publicadas se corresponden con las siguientes:

  • Cuatro vulnerabilidades de ausencia de comprobación de autorización;
  • Una vulnerabilidad de divulgación de información;
  • Dos vulnerabilidades de otro tipo.

 

Las nuevas notas de seguridad más destacadas se refieren a la ausencia de comprobación de autorización en el Kernel de la Plataforma ABAP podría permitir a un atacante autenticado la escalada de privilegios. La vulnerabilidad afecta a las conexiones de confianza con otros sistemas a través de la comunicación RFC y HTTP, permitiendo al atacante ejecutar la lógica específica de la aplicación en otros sistemas para leer y modificar datos. Se ha asignado el identificador CVE-2021-40501 para esta vulnerabilidad. Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-40502, CVE2020-6369, CVE-2021-40503, CVE-2021-42062, CVE-2021-38164 y CVE-2021-40504.

 

Productos afectados:

  • SAP ABAP Platform Kernel, versiones 7.77, 7.81, 7.85, 7.86;
  • SAP Commerce, versiones 2105.3, 2011.13, 2005.18, 1905.34;
  • CA Introscope Enterprise Manager (SAP Solution Manager y SAP Focused Run), versiones 9.7, 10.1, 10.5, 10.7;
  • SAP GUI para Windows, versiones anteriores a 7.60 PL13, 7.70 PL4;
  • SAP ERP HCM Portugal, versiones 600, 604, 608;
  • SAP ERP Financial Accounting (RFOPENPOSTING_FR) , versiones SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730,   SAPSCORE 125, S4CORE, 100, 101, 102, 103,104, 105;
  • SAP NetWeaver AS para ABAP y ABAP Platparam, versiones 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756;

 

Recomendaciones:

  • Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

 

Referencias:

  • SAP Security Patch Day November 2021: Critical Patch for ABAP Platform Kernel
  • https://onapsis.com/blog/sap-security-patch-day-november-2021-critical-patch-abapplatform-kernel
  • https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864
  • https://www.sap.com/about/company/what-is-sap.html
  • https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
  • https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-noviembre-2021