Revelan 9 vulnerabilidades críticas y de alta gravedad en SAP

13 agosto, 2021

SAP lanzó 19 parches de seguridad nuevos y actualizados, tres de ellos calificados como críticos “HotNews” y seis como de alta prioridad.

“HotNews” es la clasificación de gravedad que SAP otorga a las vulnerabilidades críticas. Dos de las vulnerabilidades de este mes tienen una puntuación CVSS de 9.9. Estas afectan a SAP Business One y a la infraestructura de desarrollo de SAP NetWeaver.

Las aplicaciones de SAP ayudan a las organizaciones a gestionar los procesos comerciales críticos, incluida la planificación de recursos empresariales (ERP). Además, permiten la gestión del ciclo de vida del producto, la gestión de las relaciones con los clientes (CRM) y la gestión de la cadena de suministro.

Una de las vulnerabilidades graves, CVE-2021-33698, es un problema de carga de archivos sin restricciones que afecta a SAP Business One. SAP Business One es el software de gestión empresarial de la compañía alemana para pequeñas y medianas empresas. La vulnerabilidad permite que un atacante cargue archivos, incluidos scripts maliciosos, en el servidor.

Según Thomas Fritsch, investigador de seguridad de SAP de la firma de seguridad empresarial Onapsis, la única razón por la que no se le otorgó la calificación CVSS máxima de 10 es porque necesita un conjunto mínimo de autorizaciones.

En su informe del martes sobre el parche, Fritsch dijo que, afortunadamente, para aquellos clientes que no pueden aplicar inmediatamente la revisión relacionada, hay una solución alternativa. Simplemente deben desactivar la funcionalidad afectada. Por supuesto, eso es solo una solución rápida. Como siempre, SAP hace hincapié en que la solución alternativa se considere una solución temporal y no una solución permanente.

Las otras vulnerabilidades graves

SAP describió la segunda vulnerabilidad crítica, CVE-2021-33690, como una falsificación de solicitud del lado del servidor (SSRF). Esta afecta a la Infraestructura de desarrollo de NetWeaver (SAP NWDI) en un servlet del Servicio de compilación de componentes.

Onapsis dijo que el servlet estaba expuesto al mundo exterior, “permitiendo a los atacantes realizar ataques de proxy mediante el envío de consultas diseñadas”. Según Fritsch, SAP advirtió que la gravedad de la vulnerabilidad depende de si los usuarios están ejecutando NWDI en la intranet o en Internet.

Es una mala noticia para quienes lo ejecutan en Internet, enfatizó SAP. Esto porque “podría comprometer por completo los datos confidenciales que residen en el servidor e impactar su disponibilidad”.

En lo que respecta a la tercera vulnerabilidad de HotNews, CVE-2021-33701, la vulnerabilidad es una inyección SQL en el servicio SAP NZDT (Near Zero Downtime Technology) utilizado por S/4HANA y el complemento móvil DMIS. Su clasificación de gravedad CVSS es 9.1.

La herramienta es utilizada por el servicio NZDT correspondiente de SAP para actualizaciones y conversiones del sistema optimizadas en el tiempo. “Cuando se utiliza el servicio NZDT, el mantenimiento se realiza en un clon del sistema de producción. Todos los cambios se registran y se transfieren al clon después de que se completan las tareas de mantenimiento. Durante el tiempo de inactividad final, solo se ejecutan algunas actividades, incluido un cambio de producción al nuevo sistema (clon).

Nuevamente, hay una solución alternativa disponible para los clientes que han activado la verificación de tiempo de ejecución de Conectividad unificada (UCON). Simplemente no deben asignar el módulo de función habilitado para uso remoto a ningún conjunto de comunicación en UCON.

Cuatro vulnerabilidades de alta gravedad

Onapsis hizo un reconocimiento a Yvan Genuer, de Onapsis Research Labs, quien colaboró con SAP para corregir cuatro vulnerabilidades en SAP Enterprise Portal.

Uno fue CVE-2021-33702, una vulnerabilidad de secuencia de comandos entre sitios (XSS) en SAP NetWeaver Enterprise Portal. Esta fue causada por uno de los servlets del portal y recibió una calificación de CVSS 8.3.

Implica una validación insuficiente que permite la inyección de JavaScript en la página web correspondiente. La vulnerabilidad podría llevar a una víctima a navegar a un servlet infectado y activar un script vulnerable para ejecutar en su navegador.

El impacto es alto, pero la explotación exitosa sería “muy compleja” y requeriría la interacción del usuario, que son las condiciones que llevaron a su puntaje CVSS más bajo.

El cuarteto de parches de alta gravedad incluye una segunda vulnerabilidad XSS, CVE-2021-33703. Esta se encuentra de manera similar en otro servlet de SAP NetWeaver Enterprise Portal y también calificada como CVSS 8.3.

La tercera solución de alta prioridad es CVE-2021-33705. Esta aborda una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en uno de los componentes en tiempo de diseño de SAP NetWeaver Enterprise Portal. La vulnerabilidad permitiría a un atacante no autenticado crear una URL maliciosa que podría enviar cualquier tipo de solicitud, POST o GET. Esta podría enviarse, por ejemplo, a cualquier servidor interno o externo donde un usuario haga clic en él.

Vulnerabilidad de redirección

El cuarto agujero en el que Onapsis trabajó con SAP para cerrarlo, CVE-2021-33707, fue etiquetado con una puntuación CVSS de 6.1. Se trata de una vulnerabilidad de redirección de URL en SAP Knowledge Management. Esta permitiría a los atacantes remotos “redirigir a los usuarios a sitios web arbitrarios y realizar ataques de phishing a través de una URL almacenada en un componente. Por ejemplo, un escenario daría a los atacantes la capacidad de “comprometer la confidencialidad e integridad del usuario.

Otras vulnerabilidades críticas también fueron cubiertas el martes. Un problema de autenticación que afecta a los sistemas SAP a los que se accede a través de Web Dispatcher. Asimismo, un problema de secuestro de tareas en la aplicación móvil Fiori Client para Android y una vulnerabilidad de autenticación en SAP Business One.

Mes convulso para SAP

Dados los nueve parches críticos, Fritsch denominó a los parches de SAP del martes como la “calma antes de la tormenta”. De hecho, dijo, que la serie de parches del martes le ha valido a agosto el honor de ser “el día de parches de SAP más notable de este año” para los clientes.

El pequeño grupo de aplicaciones SAP que se ven afectadas por una vulnerabilidad CVSS 9.9 en 2021 ahora se amplía con SAP Business One y SAP NetWeaver Development Infrastructure.

Existe una advertencia particular para los clientes de SAP Enterprise Portal. Esto porque de los cuatro parches lanzados para la aplicación, tres de ellos calificaron como de alta prioridad.

Vulnerabilidades críticas explotadas en menos de 72 horas

Es de esperar que las empresas se apresuren a aplicar los parches a la máxima velocidad, dada la rapidez con la que las vulnerabilidades de SAP se convierten en armas.

Un informe de inteligencia de amenazas de abril de Onapsis y SAP encontró que las vulnerabilidades críticas de SAP se convierten en exploits “en menos de 72 horas después de la publicación de un parche”. Es incluso peor para las nuevas aplicaciones de SAP desprotegidas que se suministran en entornos de nube. Estas se descubren y ponen en peligro en menos de tres horas, según la alerta.

Los actores de amenazas son activos, capaces y generalizados, afirma el informe. El informe cita evidencia de más de 300 explotaciones automatizadas que aprovechan siete vectores de ataque específicos de SAP. Las empresas encontraron “evidencia clara de un conocimiento de dominio sofisticado, incluida la implementación de parches de SAP después del compromiso”.

Los atacantes estaban llevando a cabo una variedad de ataques, según Onapsis y SAP. Esto incluye el robo de datos confidenciales, el fraude financiero, la interrupción de los procesos comerciales de misión crítica y otras interrupciones operativas. Además, el envió de ransomware y tipo otro malware.