CCN-CERT AV 03/22 Vulnerabilidades en SAP

Cabecera
separador
Vulnerabilidades en SAP

Fecha de publicación: 10/02/2022
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de vulnerabilidades en productos SAP.

SAP ha publicado su aviso de seguridad correspondiente al mes de febrero con 13 notas de seguridad y 5 actualizaciones sobre avisos publicados en meses anteriores. En estas 13 notas se han solucionado 18 vulnerabilidades, 6 de ellas se ha calificado como críticas; 3 han obtenido una criticidad alta; 8 han sido catalogadas como medias; y 1 ha sido catalogada como baja.

SAP ya ha publicado los correspondientes parches y actualizaciones para corregir estas vulnerabilidades en los productos afectados. Cabe destacar que cuatro de las vulnerabilidades críticas hacen referencia a actualizaciones sobre CVE-2021-44228, la vulnerabilidad de Log4j de la que ya se realizó un informe detallado el pasado mes de diciembre y otros CVE relacionados con la misma (CVE-2021-45046CVE-2021-45105, CVE-2021-44832). A continuación, se detallan el resto de CVE catalogados con una severidad crítica en el informe de este mes:

  • CVE-2022-22536: vulnerabilidad que existe debido a un problema de concatenación de las solicitudes de NetWeaver, Content Server y Web Dispatches que podría utilizarse para comprometer cualquier aplicación Java o ABAP basada en NetWeaver con la configuración por defecto. La vulnerabilidad se puede explotar mediante una solicitud no autenticada a través del servicio HTTP(S). La explotación exitosa de la vulnerabilidad permitiría a un atacante robar información de sesión y credenciales del servidor afectado, posibilitando un compromiso total del sistema.
     
  • CVE-2022-22544: vulnerabilidad que existe debido a una falta de separación en las funciones de SAP Solution Manager. Una explotación exitosa de este fallo podría permitir a un atacante con privilegios de administrador explorar archivos y ejecutar código en todos los agentes de diagnóstico a través de la red.

La base de datos del NIST aún no ha registrado estas vulnerabilidades, por lo que aún no se les ha asignado una puntuación según la escala CVSSv3. Aún así, el fabricante ha clasificado las vulnerabilidades descritas como críticas. Hasta la fecha no se conoce actividad dañina en la red ni la disponibilidad de exploits que aprovechan estas vulnerabilidades, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.

Recursos afectados:

  • CVE-2022-22536:
    • SAP Web Dispatcher versiones: 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87.
    • SAP Content Server versión 7.53.
    • SAP NetWeaver and ABAP Platform versiones:
      • KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86 y 7.87.
      • KRNL64UC 8.04, 7.22, 7.22EXT, 7.49 y 7.53.
      • KRNL64NUC 7.22, 7.22EXT y 7.49.
  • CVE-2022-22544:
    • SAP Solution Manager (Diagnostics Root Cause Analysis Tools) versión 720.

Solución a las vulnerabilidades:

SAP ya ha publicado los parches y actualizaciones de cada producto afectado por las vulnerabilidades publicadas en su informe correspondiente al mes de febrero. Para poder realizar la descarga y aplicar las correcciones es necesario acceder al portal de soporte de SAP:

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se han detectado medidas de mitigación alternativas a las actualizaciones ofrecidas por el fabricante para solucionar las vulnerabilidades.

Referencias:

Atentamente,

Equipo CCN-CERT

 
 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT