Como parte de su Security Patch Day de febrero de 2022, el fabricante de software alemán SAP anunció el lanzamiento de 13 nuevas notas de seguridad y actualizaciones para otras cinco notas de seguridad.
La compañía también lanzó una nota fuera de banda, por un total de 19 notas de seguridad, a lo que habría que sumar otras tres notas que fueron liberadas o actualizadas desde el segundo martes de enero.
Ocho de las 22 notas de seguridad recibieron la calificación 'Hot News', la calificación más alta en los libros de la empresa, una cifra récord para la empresa. Sin embargo, cuatro de ellas son actualizaciones de notas de seguridad publicadas anteriormente.
Tres de las notas de seguridad de Hot News recién publicadas tienen una puntuación CVSS de 10, mientras que la cuarta tiene una puntuación CVSS de 9.1. Todas las notas actualizadas de Hot News tienen una puntuación CVSS de 10.
La más importante de estas vulnerabilidades es CVE-2022-22536, un problema de contrabando y concatenación de solicitudes en NetWeaver, Content Server y Web Dispatches que podría utilizarse para comprometer cualquier aplicación Java o ABAP basada en NetWeaver que ejecute la configuración predeterminada.
La vulnerabilidad se puede explotar con una sola solicitud entregada a través del servicio HTTP(S) comúnmente expuesto, sin autenticación, explica la firma de seguridad de aplicaciones comerciales Onapsis. Un atacante podría robar la sesión y las credenciales de la víctima en texto sin formato.
Onapsis advierte que CVE-2022-22536 puede explotarse en combinación con una vulnerabilidad de contrabando de solicitudes HTTP de alta gravedad (CVE-2022-22532) para comprometer los sistemas NetWeaver Java.
Estos y una vulnerabilidad rastreada como CVE-2022-22533 se rastrean colectivamente como ICMAD porque residen en el componente Internet Communication Manager (ICM), que utilizan muchas aplicaciones de SAP.
“CVE-2022-22536 se puede explotar cuando un proxy HTTP(S) se encuentra entre los clientes y el sistema SAP backend, que es el escenario más común para el acceso HTTP(S) en cualquier entorno productivo. Los laboratorios de investigación de Onapsis validaron que los atacantes también podrían explotar CVE-2022-22532 […] en ausencia de un proxy. La combinación de ambas vulnerabilidades hace posible comprometer los sistemas SAP NetWeaver Java independientemente del uso de proxies”. Dice Onapsis.
[LEER: SAP parchea la vulnerabilidad de Log4Shell en más aplicaciones]
La compañía de seguridad también advierte sobre los desafíos asociados con la detección de ataques dirigidos a ICMAD, ya que las solicitudes maliciosas son difíciles de diferenciar de las solicitudes benignas, y subraya que la explotación exitosa conduce a la toma completa del sistema y no requiere autenticación previa.
Al explotar estas vulnerabilidades, los atacantes pueden robar credenciales de usuario e información personal, filtrar información confidencial, realizar transacciones financieras fraudulentas, interrumpir sistemas críticos y causar condiciones de denegación de servicio, o cambiar los detalles bancarios en un sistema financiero registrado, explica Onapsis.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instó a las organizaciones aplicar los parches para las fallas ICMAD lo antes posible.
Otras dos notas de seguridad de Hot News abordan los problemas de ejecución remota de código relacionados con el uso de Apache Log4j en SAP Commerce y Data Intelligence 3 (en las instalaciones), respectivamente.
La última de las notas de seguridad de Hot News de este mes aborda la falta de segregación de funciones en las herramientas de análisis de causa raíz de Solution Manager Diagnostics (CVE-2022-22544, puntaje CVSS de 9.1) que podría permitir que un atacante con privilegios de administrador explore archivos y ejecute código en todos los agentes de diagnóstico a través de la red, Onapsis explica la.
Tres de las notas de seguridad actualizadas de Hot News también se ocupan de las vulnerabilidades de Log4j, mientras que la cuarta trae la versión 97.0.4692.99 de Chromium a SAP Business Client.
SAP también corrigió una falla de inyección de SQL en NetWeaver AS ABAP (Workplace Server) que podría permitir a un atacante ejecutar consultas de base de datos manipuladas y actualizó una nota de seguridad que trata dos vulnerabilidades en la aplicación F0743 Create Single Payment de S/4HANA.
Este mes se abordaron seis errores de gravedad media en NetWeaver, ERP HCM, Business Objects Web Intelligence (BI Launchpad), 3D Visual Enterprise Viewer, Adaptive Server Enterprise y S/4HANA. SAP también corrigió una denegación de servicio de baja gravedad en NetWeaver Application Server para ABAP y ABAP Platform.
Relacionado: SAP parchea la vulnerabilidad de Log4Shell en 20 aplicaciones
Relacionado: Vulnerabilidad crítica de SAP permite ataques a la cadena de suministro
Relacionado: SAP parchea vulnerabilidad crítica en el kernel de la plataforma ABAP
Ionut Arghire es corresponsal internacional de SecurityWeek.
Tags:
