Alerta Masiva de Ciberseguridad: Actualización de seguridad de SAP de mayo de 2023

  • 11/05/2023
  • 195
Alerta Masiva de Ciberseguridad: Actualización de seguridad de SAP de mayo de 2023

Con fecha 10 de mayo de 2023 la compañia alemana SAP publicó varias actualizaciones de seguridad de severidad crítica para algunos de sus productos.

Recursos Afectados:

  • SAP 3D Visual Enterprise License Manager, versión 15;
  • SAP BusinessObjects Intelligence Platform, versiones 420 y 430;
  • SAP AS NetWeaver JAVA, versiones SERVERCORE 7.50, J2EE-FRMW 7.50 y CORE-TOOLS 7.50;
  • SAP IBP EXCEL ADD-IN, versiones 2211, 2302 y 2305;
  • SAP PowerDesigner (Proxy), versión 16.7;
  • SAP Commerce, versiones 2105, 2205 y 2211;
  • SAP GUI for Windows, versiones 7.70 y 8,0;
  • SAP Commerce (Backoffice), versiones 2105 y 2205;
  • SAPUI5, versiones SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 y UI_700 20.

 

Descripción:
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 18 notas de seguridad, siendo 2 notas de severidad crítica, 9 de severidad alta y el resto medias y bajas.
Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • divulgación de información,
  • control de acceso inadecuado durante el arranque de la aplicación,
  • escalada de privilegios,
  • corrupción de memoria,
  • denegación de servicio,
  • neutralización inadecuada de código.

 

La vulnerabilidad crítica que afecta a BusinessObjects Business Intelligence Platform podría permitir que un atacante autenticado con privilegios de administrador obtenga el token de inicio de sesión de cualquier usuario o servidor de BI conectado a través de la red sin ninguna interacción del usuario. El atacante podría hacerse pasar por cualquier usuario en la plataforma y acceder y modificar los datos. El atacante también puede hacer que el sistema no esté disponible parcial o totalmente. Se ha asignado el identificador CVE-2023-28762 a esta vulnerabilidad.

Recomendaciones:
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Referencias:

  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-mayo-de-2023
  • https://onapsis.com/blog/sap-patch-day-may-2023
  • https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10