Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.
Notas Marzo 2022
Resumen y highlights del Mes
El número total de notas/parches ha disminuido con respecto al último mes. Además de esta bajada en el número de notas totales, el número de Hot News también se ve reducido, siendo 9 las que encontrábamos el mes pasado con respecto a las 4 existentes en Marzo. Por otro lado, cabe destacar, que disminuyen el número de notas de criticidad alta pasando de 3 a 1 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar en este mes, pero daremos detalle de un total de 5 notas (todas las que tengan un CVSS de 7 o mayor).
Tenemos un total de 17 notas para todo el mes, 5 menos que el pasado Febrero (16 del patch Tuesday, 12 nuevas y 4 actualizaciones, siendo 6 menos que el pasado mes).
Tenemos 4 notas críticas (Hot News) ), 2 nuevas y 2 actualizaciones, en este mes, que destacan por su alto CVVS. Además revisaremos en detalle 1 del total de 1 notas altas (aquellas de CVSS mayor o igual a 7), la cual este mes se trata de una nota nueva.
- Las notas más críticas del mes (con CVSS 10) son 3. Por un lado la nota central que afecta a Apache Log4j 2 component y la nota de “Remote Code Execution vulnerability” que afecta a Apache Log4j 2 component usado en SAP Work Manager. Por otro lado, la tercera nota con este CVSS afecta a SAP NetWeaver, SAP Content Server y SAP Web Dispatcher.
- La siguiente en criticidad (CVSS 9.3) es una nota de “Missing Authentication check” que afecta a SAP Focused Run.
- A partir de ahí, localizamos la nota de criticidad alta (CVSS 8.1) de “Information Disclosure vulnerability” que afecta a SAP S/4HANA. El resto (12) son de nivel medio y bajo, y no las veremos en detalle, aunque cabe destacar que hay más de una que afecta a SAP NetWeaver.
- Este mes los tipos de notas más predominantes son “Cross-Site Scripting (XSS)” (4/17 y 4/16 en patch day), “Missing Authorization Check” (3/17 y 3/16 en patch day) y “Information Disclosure” (3/17 y 3/16 en patch day).
En la gráfica (post Marzo 2022 de SAP) podemos ver la clasificación de las notas de Marzo además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):
Detalle completo
El detalle completo de las notas más relevantes es el siguiente (en inglés):
- Update – Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component (3131047): It is the central SAP Security Note for the Log4j vulnerability and was updated with information about the new note #3154684. CVSS v3 Base Score: 10 / 10 (CVE-2021-44228).
- Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Work Manager (3154684): It affects the SAP Work Manager and SAP Inventory application. Both applications run on SAP Mobile Platform (SMP) and only on-premise installations of the SMP are affected. The note recommends upgrading to SAP Work Manager 6.6.1 and/or SAP Inventory Manager 4.4.1 since these application versions were built with the new library versions of the log4j library. As a workaround, a direct replacement of the vulnerable log4j library on the SMP server can be implemented. Due to the fact that SAP Work Manager versions prior to 6.4 do not use log4j libraries, they are not affected by the Log4j vulnerabilities. CVSS v3 Base Score: 10 / 10 (CVE-2021-44228).
- Update – Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher (3123396): Update that was initially released on February’s Patch Day. It contains some additional information, including a reference to the Knowledge Base Article #3148968 which contains an FAQ about the patch. CVSS v3 Base Score: 10 / 10 (CVE-2022-22536).
- Missing Authentication check in SAP Focused Run (Simple Diagnostics Agent 1/0) (3145987): It patches a Missing Authentication vulnerability in the SAP Simple Diagnostics Agent. This agent is installed and deployed as an add-on to the SAP Host Agent and it is a prerequisite for using the Simple System Integration (SSI) in SAP Focused Run. CVSS v3 Base Score: 9.3 / 10 (CVE-2022-24396).
- Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad (3149805): It patches a Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad. Our research team detected that SAP Fiori launchpad allows an unauthenticated attacker to manipulate the SAP-theme URL parameter — and inject HTML code — and create a link over the network for a user to click on. Once the link is clicked, successful exploitation allows the attacker to hijack user privileges that can be used to exfiltrate data and craft a CSRF attack to manipulate data. This can limit the application’s confidentiality and pose risks to its integrity, as well as increase the likelihood of it being completely compromised. CVSS v3 Base Score: 8.1 / 10 (CVE-2022-26101)
Enlaces de referencia
Enlaces de referencia del CERT del INCIBE en relación a la publicación de las notas para el mes de Marzo:
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-marzo-2022
Otras referencias, en inglés de SAP y Onapsis (Marzo):
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
Recursos afectados
El listado completo de los sistemas/componentes afectados es el siguiente:
- Fiori Launchpad, versiones: 754, 755 y 756;
- SAP Business Objects Business Intelligence Platform, versiones 420 y 430;
- SAP Content Server, versión 7.53;
- SAP Financial Consolidation, versión 10.1;
- SAP Focused Run, versiones: 200 y 300;
- SAP Inventory Manager, versiones: 4.3 y 4.4;
- SAP NetWeaver and ABAP Platform, versiones: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.4;
- SAP NetWeaver:
-
- Application Server for ABAP, versiones: 700, 701, 702 y 731;
- AS JAVA (Portal Basis), versión 7.50;
- Enterprise Portal, versiones: 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
- SAP Web Dispatcher, versiones: 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87;
- SAP Work Manager, versiones: 6.4, 6.5 y 6.6;
- SAPCAR, versión 7.22;
- SAP-JEE, versión 6.40;
- SAP-JEECOR, versiones: 6.40, 7.00 y 7.01;
- SAPS/4HANA (Hoja de datos de proveedores y búsqueda de empresas para socios comerciales, proveedores y clientes), versiones: 104, 105 y 106;
- SERVERCORE, versiones: 7.10, 7.11, 7.20, 7.30 y 7.31;
- Simple Diagnostics Agent, versiones: =>1.0 a < 1.58.
- Simple Diagnostics Agent;