Alerta Masiva de Ciberseguridad por actualizaciones de Seguridad de SAP

  • 17/03/2023
  • 56
Alerta Masiva de Ciberseguridad por actualizaciones de Seguridad de SAP

La Habana, 15 de marzo de 2023
“Año 65 de la Revolución”


Con fecha 15 de marzo del 2023 la compañía alemana SAP (System Applications and Products in Data Processing), en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crítica, 4 de severidad alta y el resto medias.
 
Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:
 
inyección de código,
control de acceso inadecuado,
limitación incorrecta de la ruta a un directorio restringido
ejecución de comandos en SO.
 
Dos de las cinco nuevas notas de severidad crítica afectan a SAP Business Objects (SAP BO) Intelligence Platform. Su explotación podría permitir a un atacante inyectar código arbitrario con un fuerte impacto negativo en la integridad, la confidencialidad y la disponibilidad del sistema (CVE-2023-25616 y CVE-2023-23857).
 
Otra de las notas de severidad crítica afecta al sistema operativo SAP BO Adaptive Job Server y su explotación podría permitir la ejecución de comandos arbitrarios a través de la red. La vulnerabilidad solo afecta a las instalaciones de SAP BO en plataformas UNIX (CVE-2023-25617).
 
Las otras dos vulnerabilidades críticas restantes podrían permitir a un atacante con autorizaciones no administrativas sobrescribir archivos arbitrarios críticos y el acceso a archivos que no están asignados a un nombre de archivo lógico en el sistema (CVE-2023-27500 y CVE-2023-27269).
 
Productos afectados:
 

  • SAP Business Objects Business Intelligence Platform (CMC), versiones 420 y 430.
  • SAP NetWeaver AS for Java, versión 7.50.
  • SAP NetWeaver Application Server for ABAP and ABAP Platform, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 y 791.
  • SAP NetWeaver AS for ABAP and ABAP Platform (SAPRSBRO Program), versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 757.
  • SAP Business Objects (Adaptive Job Server), versiones 420 y 430.
  •  
  • El resto de productos afectados se pueden consultar en SAP Security Patch Day – Marzo 2023.

 
Solución:
 
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
 
Referencias:
 
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
https://onapsis.com/blog/sap-patch-day-march-2023