Notas de Seguridad SAP, Julio 2021

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas Julio 2021

Resumen y highlights del Mes

El número total de notas/parches ha descendido con respecto al último mes. A pesar de este descenso en el número de notas totales, el número de Hot News se ha mantenido, siendo 2 las que encontrábamos el mes pasado con respecto a las 2 existentes en Julio. Por otro lado, cabe destacar, que ha descendido el número de notas de criticidad alta pasando de 4 a 2 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar en este mes, pero daremos detalle de un total de 4 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 16 notas para todo el mes, 4 menos que el pasado Junio (15 del patch Tuesday, 12 nuevas y 3 actualizaciones, siendo 4 menos que el pasado mes).

Este mes hay 2 notas críticas (Hot News), dos updates en este caso, que destacan por su alto CVVS. Además revisaremos en detalle 2 del total de 2 notas altas (aquellas de CVSS mayor o igual a 7) donde este mes serían todas ellas notas nuevas.

• La nota más crítica del mes (con CVSS 10) es una actualización de la nota habitual de “Browser Control Google Chromium Delivered with SAP Business Client”.
• La siguiente en criticidad (CVSS 9), sería una actualización de la nota del mes pasado relacionada con una vulnerabilidad de autenticación inadecuada, ya que un servidor ABAP no podía identificar correctamente al 100% si la comunicación vía RFC o HTTP es entre los servidores de aplicaciones del mismo sistema SAP o con servidores fuera del sistema.
• A partir de ahí, localizamos las 2 notas de criticidad alta (high priority) siendo la más relevante con un CVSS de 7.6 una nueva nota de Missing Authorization Check que afecta a SAP NetWeaver. El resto (12), serían notas de nivel medio y bajo, y no las veremos en detalle.
• Este mes los tipos más predominantes son “Information Disclosure” (3/16 y 3*/15 en patch day) y “Missing Authorization Check” (3/16 y 2*/15 en patch day).

En la gráfica (post Julio 2021 de SAP) podemos ver la clasificación de las notas de Julio además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

1. Update – Security updates for the browser control Google Chromium delivered with SAP Business Client (2622660): This security note addresses multiple vulnerabilities in the 3rd party web browser control Chromium, which can be used within SAP Business Client. This note will be modified periodically based on web browser updates by the open source project Chromium. Security corrections for this browser control are shipped with SAP Business Client patches. If the SAP Business Client release is not updated to the latest patch level, displaying web pages in SAP Business Client via this open source browser control might lead to different vulnerabilities like memory corruption, Information Disclosure and others. CVSS v3 Base Score: 10 / 10
2. Update – Improper Authentication in SAP NetWeaver ABAP Server and ABAP Platform (3007182): The vulnerability affects SAP NetWeaver ABAP Server and ABAP Platform, that do not create information about internal and external RFC user in distinguished and consistent format, which may be exploited by malicious users to obtain illegitimate access to the system. The risk of an attack can be reduced by restricting access from network external sources for RFC and HTTP communication in network protection solution accordingly and with the correction provided in this SAP Note the identification of application servers within one SAP system is improved and allows communication to distinguish from application servers of another SAP system or external client and server programs. For the correction, a new Kernel version for RFC and HTTP is required and an ABAP correction for HTTP communication. CVSS v3 Base Score: 9 / 10 (CVE-2021-27610).
3. Missing Authorization check in SAP NetWeaver Guided Procedures (3059446): This security note addresses and issue based on that SAP NetWeaver Guided Procedures (Administration Workset) does not perform necessary authorization checks for an authenticated user, resulting in escalation of privileges. The impact is that missing authorization could result to abuse of functionality restricted to a particular user group, and could allow unauthorized users to read, modify or delete restricted data. The affected functions have now been changed and enforced to properly check access restrictions. To correct this problem, implement the Support Packages and Patches referenced by this SAP Note. CVSS v3 Base Score: 7.6 / 10 (CVE-2021-33671).
4. Denial of Service (DoS) in SAP NetWeaver AS for Java (Http Service) (3056652): SAP NetWeaver AS Java Http Service stores monitoring data for every HTTP request without properly validating the HTTP method. As result attacker can manipulate the HTTP method and lead to exhaustion of system resources and have direct impact on availability. To solve the issue, update Application Server Java to an SP or release where the issue is fixed and the affected system component provide proper validation of the HTTP request before storing monitoring data. CVSS v3 Base Score: 7.5 / 10 (CVE-2021-33670).

Enlaces de referencia

Enlaces de referencia del CERT del INCIBE en relación a la publicación de las notas para el mes de Julio:

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-julio-2021

Otras referencias, en inglés de SAP y Onapsis (Julio):

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=580617506

https://onapsis.com/blog/sap-security-patch-day-july-2021-serious-vulnerabilities-sap-netweaver-java-fixed

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

• SAP 3D Visual Enterprise Viewer, versión 9;
• SAP Business Client, versión 6.5;
• SAP Business Objects Web Intelligence (BI Launchpad), versiones 420 y 430;
• SAP CRM, versiones 700, 701, 702, 712, 713 y 714;
• SAP Lumira Server, versión 2.4;
• SAP NetWeaver AS ABAP (Reconciliation Framework), versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 75A, 75B, 75B, 75C, 75D, 75E y 75F;
• SAP NetWeaver AS ABAP y ABAP Platform:
  • Versiones 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 784, 804 y DEV;
  • KRNL32NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
  • KRNL32UC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
  • KRNL64NUC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
  • KRNL64UC, versiones 8.04, 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49 y 7.53;
  • KERNEL, versiones 8.04, 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.77, 7.81 y 7.84.

• SAP NetWeaver AS for Java:
  • Http Service, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • Administrator applications, versión 7.50;
  • Enterprise Portal, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;

• SAP NetWeaver Guided Procedures (Administration Workset), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Process Integration (Enterprise Service Repository JAVA Mappings), versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
• SAP Web Dispatcher y Internet Communication Manager:
  • KRNL32NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
  • KRNL32UC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
  • KRNL64NUC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
  • KRNL64UC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.53 y 7.73;
  • WEBDISP, versiones 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;
  • KERNEL, versiones 7.21, 7.22, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 y 7.83;