Alerta Masiva de Ciberseguridad por actualizaciones de Seguridad de SAP de febrero de 2022

  • 11/02/2022
  • 197
Alerta Masiva de Ciberseguridad por actualizaciones de Seguridad de SAP de febrero de 2022

SAP ha publicado 14 notas de seguridad en diferentes productos en su comunicado mensual correspondiente a febrero, 1 de ellas fuera de ciclo y 5 actualizaciones de notas anteriores, siendo 9 de severidad crítica, 3 de severidad alta, 6 de severidad media y 1 de severidad baja.

Recursos afectados: 

  • SAP Web Dispatcher: versiones - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87;
  • SAP Content Server, versión - 7.53;
  • SAP NetWeaver y ABAP Platform: versiones - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
  • SAP Commerce: versiones - 1905, 2005, 2105 y 2011;
  • SAP Data Intelligence, versión - 3;
  • SAP Dynamic Authorization Management, versión - 9.1.0.0, 2021.03;
  • Internet of Things Edge Platform, versión - 4.0;
  • SAP Customer Checkout, versión - 2;
  • SAP Business Client, versión – 6.5;
  • SAP Solution Manager (Diagnostics Root Cause Analysis Tools), versión - 720;
  • SAP S/4HANA: versiones - 100, 101, 102, 103, 104, 105 y 106;
  • SAP NetWeaver Application Server Java: versiones - KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 y 7.53;
  • SAP NetWeaver AS ABAP (Workplace Server): versiones - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 787;
  • SAP NetWeaver (ABAP y Java application Servers): versiones - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 756;
  • SAP ERP HCM (Portugal): versiones - 600, 604, y 608;
  • SAP Business Objects Web Intelligence (BI Launchpad) , versión - 420;
  • SAP 3D Visual Enterprise Viewer , versión - 9.0;
  • SAP Adaptive Server Enterprise , versión - 16.0;
  • SAP S/4HANA (Supplier Factsheet y Enterprise Search para Business Partner, Supplier y Customer)  : versiones - 104, 105 y 106;
  • SAP NetWeaver Application Server para ABAP (Kernel) y ABAP Platform (Kernel) : versiones - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49.

 

Descripción: 

Los tipos de vulnerabilidades crítica y altas publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de contrabando de solicitudes (request smuggling) y request concatenation. Se han asignado los identificadores CVE-2022-22536 y CVE-2022-22532 para estas vulnerabilidades;
  • 6 vulnerabilidades de ejecución remota de código asociada a Apache Log4j2. Se han asignado los identificadores CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 y CVE-2021-44228 relacionados con estas vulnerabilidades;
  • Falta de segregación de funciones en SAP Solution Manager Diagnostics Root Cause Analysis Tools. Se ha asignado el identificador CVE-2022-22544 para esta vulnerabilidad;
  • 1 vulnerabilidad de inyección SQL. Se ha asignado el identificador CVE-2022-22540 para esta vulnerabilidad.

 

Las notas de seguridad más destacadas se refieren a:

  • Vulnerabilidades de ejecución remota de código asociada a Apache Log4j2.
  • Actualizaciones de seguridad para el control del navegador Google Chromium.
  • Múltiples vulnerabilidades en la aplicación F0743 Create Single Payment de SAP S/4HANA.

 

La vulnerabilidad CVE-2022-22536, que forma parte de un conjunto de 3 vulnerabilidades denominado ICMAD (Internet Communication Manager Advanced Desync), es especialmente crítica y ha sido calificada con un nivel de 10 sobre 10 debido a la facilidad de explotación por un atacante. Además, este problema está presente por defecto en el componente ICM. ICM es el elemento de SAP que permite las comunicaciones HTTP(S) con algunos sistemas SAP. Dado que ICM puede estar expuesto a Internet o a redes no confiables, las vulnerabilidades en este componente pueden tener un mayor nivel de exposición.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-22534, CVE-2022-22535, CVE-2022-22546, CVE-2022-22537, CVE-2022-22539, CVE-2022-22538, CVE-2022-22528, CVE-2022-22542 y CVE-2022-22543.

Recomendaciones:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Referencias:

  • https://onapsis.com/blog/sap-security-patch-day-february-2022-severe-http-smuggling-vulnerabilities-sap-netweaver
  • https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022
  • https://onapsis.com/icmad-sap-cybersecurity-vulnerabilities
  • https://www.cisa.gov/uscert/ncas/current-activity/2022/02/08/critical-vulnerabilities-affecting-sap-applications-employing
  • https://onapsis.com/blog/icmad-critical-vulnerabilities-sap-business-applications-require-immediate-attention