Notas de Seguridad SAP, Abril 2024

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas abril 2024

Resumen y highlights del Mes

El número total de notas/parches ha sido de 12, las mismas que el mes pasado. Este mes no ha habido Hot News, a diferencia de las 3 del mes pasado. Por otro lado, cabe destacar que el número de notas de criticidad también se ha mantenido con respecto al mes pasado: 3 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar, pero daremos detalle de un total de 3 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 12 notas para todo el mes (las 12 del patch Tuesday, 10 nuevas y 2 actualizaciones).

Revisaremos en detalle un total de 3 notas, las 3 se corresponden con las notas altas: las 3 son nuevas (aquellas de CVSS mayor o igual a 7).

1. La nota más crítica del mes (con CVSS 8,8) es una nota nueva relacionado con « Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine».
2. La siguiente en criticidad (CVSS 7,7) es otra nota alta relacionada con “Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence”.
3. La siguiente en criticidad (con CVSS 7,2), es otra nota alta relacionada con “Directory Traversal vulnerability in SAP Asset Accounting”.
4. Este mes el tipo más predominante es relacionado con “Missing Authorization check in SAP S/4 HANA” (2/12 en patch day).

En la gráfica podemos ver la clasificación de las notas de abril, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

1.  Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine (3434839): The ‘Self-Registration’ and ‘Modify your own profile’ feature in the NetWeaver AS Java User Admin application lacks the necessary security requirements, which could allow an attacker to compromise data confidentiality. It is recommended that you upgrade your NW Java application server to a version or Service Pack (SP) that has addressed this specific issue. CVSS v3 Base Score: 8,8 / 10 [CVE-2024-27899].
2.  Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence Product (3421384): Due to improper validation, SAP Business Object Business Intelligence Launch Pad has a vulnerability that allows an authenticated attacker to access operating system information through a manipulated document. This could compromise the confidentiality of the application. As an interim measure, SAP recommends removing the Excel data access service from all adaptive processing servers to mitigate this risk. CVSS v3 Base Score: 7,7/ 10 [CVE-2024-25646].
3. Directory Traversal vulnerability in SAP Asset Accounting (3438234): SAP Asset Accounting has a vulnerability that could allow an attacker with elevated privileges to exploit insufficient validation of routing information provided by users, affecting the confidentiality, integrity and availability of the application. As a workaround, SAP recommends assigning an authorization group to the RAALTE00 and RAALTD01 programs, ensuring that they can only be executed by users with special privileges.CVSS v3 Base Score: 7,2 / 10 [CVE-2024-27901].

Enlaces de referencia

Referencias, en inglés de SAP y Onapsis (abril):

Digital Library (sap.com)

SAP Patch Day: April 2024 – Onapsis

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

• SAP NetWeaver AS Java User Management Engine, Versions – SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50
• SAP BusinessObjects Web Intelligence, Versions – 4.2, 4.3
• SAP Asset Accounting, Versions – SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618, SAP_FIN700
• SAP Edge Integration Cell, Versions older than 8.13.5
• SAP NetWeaver AS ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.93
• SAP Group Reporting Data Collection (Enter Package Data), Versions – S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108, SAP_GRDC_CLOUD 1.0.0
• SAP Employee Self Service (Fiori My Leave Request), Version – 605
• SAP S/4HANA (Manage Catalog Items and Cross-Catalog search), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106
• SAP NetWeaver, Version – 7.50
• SAP Business Connector, Version – 4.8
• SAP S/4 HANA (Cash Management), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108
• SAP S/4 HANA (Cash Management), Versions – S4CORE 106, S4CORE 107, S4CORE 108