SAP anunció esta semana el lanzamiento de 12 notas de seguridad nuevas y actualizadas como parte del Día del parche de seguridad de enero de 2023, incluidas siete notas de “noticias importantes” que abordan vulnerabilidades de gravedad crítica.

Cuatro de las notas de seguridad calificadas como “noticias importantes”, la calificación de gravedad más alta en los libros de SAP, son notas nuevas que abordan vulnerabilidades en Business Planning and Consolidation MS, BusinessObjects y NetWeaver, mientras que las tres restantes son actualizaciones de notas publicadas en noviembre y diciembre de 2022. .

La más grave de las nuevas notas resuelve un error de inyección SQL en Business Planning and Consolidation MS (CVE-2023-0016, puntuación CVSS de 9,9) y un error de inyección de código en la plataforma BusinessObjects Business Intelligence (CVE-2023-0022, CVSS puntuación de 9,9).

Según la firma de seguridad empresarial Onapsis, el primero de estos problemas puede explotarse para ejecutar consultas de base de datos diseñadas en la aplicación vulnerable, lo que permite que un atacante lea, modifique o elimine datos arbitrarios.

La vulnerabilidad de inyección de código se puede explotar a través de la red, con un impacto en la confidencialidad, integridad y disponibilidad de la aplicación.

“La nota contiene un parche y una solución alternativa para aquellos clientes que no pueden proporcionar este parche de inmediato. Sin embargo, esta solución solo se puede usar como una solución temporal, ya que elimina, detiene o desactiva el servicio afectado”, explica Onapsis.

Las nuevas notas de ‘noticias importantes’ restantes resuelven un error de control de acceso inadecuado en NetWeaver AS para Java (CVE-2023-0017, puntaje CVSS de 9.4) y una vulnerabilidad de captura-reproducción en NetWeaver AS para ABAP y plataforma ABAP (CVE-2023 -0014, puntaje CVSS de 9.0).

Al explotar el primer problema, un atacante no autenticado podría acceder y modificar los datos del usuario y hacer que los servicios del sistema no estén disponibles.

El error de captura y reproducción afecta la arquitectura de la comunicación RFC y HTTP de confianza, lo que permite a los atacantes obtener acceso no autorizado a un sistema SAP.

Mitigar la vulnerabilidad, dice Onapsis, podría resultar un desafío, ya que implica aplicar “un parche del kernel, un parche ABAP y una migración manual de todos los destinos RFC y HTTP confiables”.

SAP también actualizó tres notas de “noticias importantes” que abordan una deserialización insegura de una falla de datos no confiables en BusinessObjects (CVE-2022-41203) y dos problemas de control de acceso inadecuado en NetWeaver (CVE-2022-4127 y CVE-2022-41271).

Las cinco notas restantes publicadas en el Security Patch Day de enero de SAP abordan vulnerabilidades de gravedad media en Host Agent (Windows), NetWeaver, BusinessObjects y Bank Account Management (Administrar bancos).

Fuente: securityweek.com