Notas de Seguridad SAP, Enero 2024

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas Enero 2024

Resumen y highlights del Mes

El número total de notas/parches ha sido de 12, 5 menos que el mes pasado. El número de Hot News ha sido de 3, 1 menos que el mes pasado. Por otro lado, cabe destacar que el número de notas de criticidad alta se mantiene con respecto al mes pasado: 4 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar, pero daremos detalle de un total de 7 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 12 notas para todo el mes (las 12 del patch Tuesday, 10 nuevas y 2 actualizaciones, son 5 notas menos que el pasado patch Tuesday).

Revisaremos en detalle un total de 7 notas, las 3 HotNews de este mes, 2 nuevas y 1 actualización y las 4 notas altas, las 4 nuevas (aquellas de CVSS mayor o igual a 7).

1. Las notas más críticas del mes (con CVSS 9,1) son 3 HotNews, 2 nuevas y una actualización, una relacionada con “Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries”, otra con “Escalation of Privileges in applications developed through SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA” y la tercera con “Escalation of Privileges in SAP Edge Integration Cell”.
2. La siguiente en criticidad (con CVSS 8,4), es una nota alta relacionada con “Code Injection vulnerability in SAP Application Interface Framework (File Adapter)”.
3. Las siguiente en criticidad (con CVSS 7,5) se trata de una nota alta relacionada con “Denial of service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application server ABAP, and ABAP Platform”.
4. Las siguientes en criticidad (con CVSS 7,3 y 7,3 respectivamente) están relacionadas con “Information disclosure vulnerability in Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge)” y “Improper Authorization check in SAP LT Replication Server”.
5. Este mes el tipo más predominante es relacionado con “Escalation of Privileges” (3/12 en patch day).

En la gráfica podemos ver la clasificación de las notas de enero, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

1. Escalation of Privileges in applications developed through SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA (3412456): Under certain conditions, node.js applications created through SAP Business Application Studio, SAP Web IDE Full-Stack and SAP Web IDE for SAP HANA:, which are intended to be deployed in the SAP BTP or Cloud Foundry environment allow an escalation of privileges. CVSS v3 Base Score: 9,1/ 10 [CVE-2023-49583].
2. Escalation of Privileges in SAP Edge Integration Cell Related CVEs (3413475): SAP BTP Security Services Integration Libraries and Programming Infrastructures using these libraries listed below allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application. CVSS v3 Base Score: 9,1/ 10 (Multiple CVE´s).
3. Update – Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries (3411067):SAP BTP Security Services Integration Libraries and Programming Infrastructures using these libraries listed below allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application. CVSS v3 Base Score: 9,1 / 10 (Multiple CVE´s).
4. Code Injection vulnerability in SAP Application Interface Framework (File Adapter) (3411869): In SAP Application Interface Framework File Adapter, a user with elevated privileges can use a function module to traverse multiple layers and execute operating system commands directly, being able to control the behavior of the application, impacting confidentiality, integrity and availability. CVSS v3 Base Score: 8,4/ 10 [CVE-2024-21737].
5. Denial of service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application server ABAP, and ABAP Platform (3389917):NetWeaver Application Server ABAP, and ABAP Platform allow an unauthenticated user to perform a DOS attack. This action may lead to flooding the memory and cause a high impact on the availability of the application. The vulnerability affects only the HTTP/2 protocol. CVSS v3 Base Score: 7,5 / 10 [CVE-2023-44487].
6. Information Disclosure vulnerability in Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) (3386378):  Under certain conditions the Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) allows an attacker to access highly sensitive information which would otherwise be restricted causing high impact on confidentiality.CVSS v3 Base Score: 7,4 / 10 [CVE-2024-22125].
7. Improper Authorization check in SAP LT Replication Server (3407617): SAP LT Replication Server does not perform the required authorization checks. This could allow an attacker with elevated privileges to perform unwanted actions. This issue may occur for SAP LT Replication Server running on SAP S/4HANA 1809 to 2023. CVSS v3 Base Score: 7,3/ 10 [CVE-2024-21735].

Enlaces de referencia

Referencias, en inglés de SAP y Onapsis (enero):

Digital Library (sap.com)

SAP Patch Day: January 2024 | Onapsis

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

• @sap/approuter, Versions –14.4.2
• @sap/xssec, Versions –< 3.6.0
• cloud-security-services-integration-library, Versions –< 2.17.0 & from 3.0.0 before 3.3.0
• github.com/sap/cloud-security-client-go, Versions -< 0.17.0
• Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge),Version -1.0
• SAP Application Interface Framework (File Adapter), Version –702
• SAP Edge Integration Cell, Versions >= 8.9.13
• SAP LT Replication Server,Versions–S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108
• SAP NetWeaver AS ABAP and ABAP Platform, Versions-KRNL64UC 7.53, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.94, KERNEL 7.93, KERNEL 7.95
• SAP Web Dispatcher, Versions–WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP 7.89, WEBDISP 7.90, WEBDISP 7.94, WEBDISP 7.95,