Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Actualizaciones de seguridad de febrero 2022 para productos SAP

Fecha de publicación 09/02/2022
Importancia
5 - Crítica
Recursos Afectados
  • SAP Web Dispatcher, versiones 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 y 7.87;
  • SAP Content Server, versión 7.53;
  • SAP Commerce, versión 1905, 2005, 2105 y 2011;
  • SAP Data Intelligence, versión 3;
  • SAP Dynamic Authorization Management, versiones 9.1.0.0 y 2021.03;
  • Internet of Things Edge Platform, versión 4.0,
  • SAP Customer Checkout, versión 2;
  • SAP Business Client, versión 6.5;
  • SAP Solution Manager (Diagnostics Root Cause Analysis Tools), versión 720;
  • SAP S/4HANA, versiones 100, 101, 102, 103, 104, 105 y 106;
  • SAP NetWeaver Application Server Java, versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 y 7.53;
  • SAP NetWeaver AS ABAP (Workplace Server), versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 787;
  • SAP NetWeaver (ABAP y Java application Servers), versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 756;
  • SAP ERP HCM (Portugal), versiones 600, 604 y 608;
  • SAP Business Objects Web Intelligence (BI Launchpad), versión 420;
  • SAP 3D Visual Enterprise Viewer, versión 9.0;
  • SAP Adaptive Server Enterprise, versión 16.0;
  • SAP S/4HANA (Supplier Factsheet y Enterprise Search para Business Partner, Supplier y Customer) , versiones 104, 105, 106;
  • SAP NetWeaver Application Server para ABAP (Kernel) y ABAP Platform (Kernel), versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49.
Descripción

SAP ha publicado el boletín de seguridad de febrero de 2022 con parches de seguridad para sus productos, algunos de las cuales resuelven vulnerabilidades de severidad alta y crítica. SAP recomienda aplicar los parches de seguridad a la mayor brevedad posible.

[ACTUALIZACIÓN 10/02/2022]: En la actualización de febrero, SAP publicó nuevos parches que abordan las vulnerabilidades que afectan a los productos de SAP detallados en “Recursos afectados”. La vulnerabilidad identificada como CVE-2022-22536, y considerada como crítica, está afectando a numerosos productos SAP y podría permitir a un ciberdelincuente realizar ataques de ransomware, robar datos sensibles o la interrupción de procesos de negocio, entre otros.

Esta vulnerabilidad es especialmente crítica porque este problema está presente por defecto en el componente ICM, componente de SAP que permite las comunicaciones HTTP(S) en sus sistemas.

SAP ha desarrollado una herramienta para consultar si tu producto se ha visto afectado. Consulta el apartado “Solución” para aplicar los parches de seguridad correspondientes.

Solución

Aplicar los parches de seguridad publicados por SAP desde la página oficial de soporte, según las indicaciones del fabricante.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle

Logo SAP

En el boletín de seguridad de este mes se corrigen vulnerabilidades extremadamente críticas en todas las aplicaciones SAP que se basan en SAP NetWeaver, las cuales podrían permitir a un atacante no autenticado acceder de forma remota a una aplicación SAP afectada y obtener el control total del sistema.

También se han producido un gran número de actualizaciones para solucionar las vulnerabilidades provocadas por la vulnerabilidad Log4j, que afectaban a productos SAP.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de  INCIBE-CERT.

Línea de ayuda en ciberseguridad 017