Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.
Notas diciembre 2024
Resumen y highlights del Mes
Este mes el número total de notas/parches ha sido de 13, 3 más que el mes pasado. Este mes ha habido una HotNews, primera que hay desde el mes de septiembre. En cuanto al número de notas de criticidad alta, estas han aumentado en 2 este mes, pasando de 2 en noviembre a 4. Las notas medias y bajas no serán revisadas, por lo que daremos detalle de un total de 5 notas (todas las que tengan un CVSS de 7 o mayor).
Tenemos un total de 13 notas para todo el mes (las 13 del patch Tuesday, 10 nuevas y 3 actualizaciones).
Revisaremos en detalle un total de 5 notas, las 4 notas altas y la HotNews, que se tratan de 2 actualizaciones y 3 notas nuevas (aquellas de CVSS mayor o igual a 7).
- La nota más crítica del mes (con CVSS 9,1) es una HotNews, relacionada con “Multiple vulnerabilities in SAP NetWeaver AS for JAVA (Adobe Document Services)”.
- La siguiente en criticidad (CVSS 8,8) se trata de una actualización de la nota publicada en noviembre de este año, relacionada con “Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher”.
- La siguiente en criticidad (CVSS 8,5) se trata de una nota relacionada con “Information Disclosure vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP”.
- La siguiente en criticidad (CVSS 7,5) se trata de una actualización de la nota publicada en noviembre de este año, relacionada con “NULL Pointer Dereference vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform”.
- La siguiente en criticidad (CVSS 7,2) se trata de nota relacionada con “Server-Side Request Forgery in SAP NetWeaver Administrator (System Overview)”.
- Este mes el tipo más predominante está relacionado con “Information Disclosure vulnerability” (3/13 en patch day).
En la gráfica podemos ver la clasificación de las notas de diciembre, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):
Detalle completo
El detalle completo de las notas más relevantes es el siguiente (en inglés):
- Multiple vulnerabilities in SAP NetWeaver AS for JAVA (Adobe Document Services) (3536965): Adobe Document Service allows an attacker with administrator privileges to send a crafted request from a vulnerable web application. It is usually used to target internal systems behind firewalls that are normally inaccessible to an attacker from the external network, resulting in a Server-Side Request Forgery vulnerability. On successful exploitation, the attacker can read or modify any file and/or make the entire system unavailable. CVSS v3 Base Score 9,1/ 10 [CVE-2024-47578]
- Update – Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher (3520281): An unauthenticated attacker can create a malicious link which they can make publicly available. When an authenticated victim clicks on this malicious link, input data will be used by the web site page generation to create content which when executed in the victim’s browser (XXS) or transmitted to another server (SSRF) gives the attacker the ability to execute arbitrary code on the server fully compromising confidentiality, integrity and availability. Note contains 3 Workarounds. CVSS v3 Base Score 8,8/ 10 [CVE-2024-47590]
- Information Disclosure vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP (3469791): In certain conditions, SAP NetWeaver Application Server ABAP allows an authenticated attacker to craft a Remote Function Call (RFC) request to restricted destinations, which can be used to expose credentials for a remote service. These credentials can then be further exploited to completely compromise the remote service, potentially resulting in a significant impact on the confidentiality, integrity, and availability of the application. CVSS v3 Base Score 8,5/ 10 [CVE-2024-54198]
- Update – NULL Pointer Dereference vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform (3504390): SAP NetWeaver Application Server for ABAP and ABAP Platform allows an unauthenticated attacker to send a maliciously crafted http request which could cause a null pointer dereference in the kernel. This dereference will result in the system crashing and rebooting, causing the system to be temporarily unavailable. There is no impact on Confidentiality or Integrity. CVSS v3 Base Score 7,5/ 10 [CVE-2024-47586]
- Server-Side Request Forgery in SAP NetWeaver Administrator (System Overview) (3542543): SAP NetWeaver Administrator(System Overview) allows an authenticated attacker to enumerate accessible HTTP endpoints in the internal network by specially crafting HTTP requests. On successful exploitation this can result in Server-Side Request Forgery (SSRF) which could have a low impact on integrity and confidentiality of data. It has no impact on availability of the application. CVSS v3 Base Score 7,2/ 10 [CVE-2024-54197]
Enlaces de referencia
Referencias, en inglés de SAP y Onapsis (diciembre):
SAP Security Patch Day – December 2024
SAP Patch Day: December 2024 – Onapsis
Recursos afectados
El listado completo de los sistemas/componentes afectados es el siguiente:
- SAP BusinessObjects Business Intelligence platform, Versions – ENTERPRISE 430, 2025
- SAP Commerce Cloud, Versions – HY_COM 2205, COM_CLOUD 2211
- SAP HCM, Version – S4HCMGXX 101
- SAP NetWeaver Administrator (System Overview), Version – LM-CORE 7.50
- SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12, 9.13
- SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – SAP_BASIS 740, SAP_BASIS 750
- SAP NetWeaver AS for JAVA (Adobe Document Services), Versions – ADSSSAP 7.50
- SAP NetWeaver AS JAVA, Version – LM-CORE 7.50
- SAP Product Lifecycle Costing, Version – PLC_CLIENT 4
- SAP Web Dispatcher, Versions – WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12, 9.13