Avisos INCIBE-CERT 20230913
Actualización de seguridad de SAP de abril de 2023
- SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector), versión 720.
- SAP BusinessObjects Business Intelligence Platform (Promotion Management, versiones 420 y 430.
- SAP NetWeaver (BI CONT ADDON), versiones 707, 737, 747 y 757.
El resto de productos afectados se pueden consultar en SAP Security Patch Day – Abril 2023.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crítica, 1 de severidad alta y el resto medias y bajas.
Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:
- omisión de autenticación,
- validación de entrada insuficiente,
- divulgación de información,
- limitación incorrecta de la ruta a un directorio restringido.
Dos de las vulnerabilidades críticas afectan a SAP Diagnostics Agent y permiten que un usuario no autenticado ejecute scripts en todos los agentes de diagnóstico conectados a SAP SolutionManager. Junto con una validación de entrada insuficiente, los atacantes podrían ejecutar comandos maliciosos en todos los sistemas SAP monitoreados, lo que tendría un gran impacto en su confidencialidad, integridad y disponibilidad. Se ha asignado el identificador CVE-2023-27497 a estas vulnerabilidades.
Otra de las vulnerabilidades críticas afecta a SAP BusinessObjects Business Intelligence Platform (gestión de promociones), que tras de descifrar con éxito su contenido, el atacante podría obtener acceso a las contraseñas de los usuarios de BI. Dependiendo de las autorizaciones del usuario suplantado, un atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2023-28765 a esta vulnerabilidad.