Notas de Seguridad SAP, Mayo 2021

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas Mayo 2021

Resumen y highlights del Mes

El número total de notas/parches ha disminuido con respecto al último mes. A pesar de esta bajada en el número de notas totales, el número de Hot News se mantiene, siendo 3 las que encontrábamos el mes pasado con respecto a las 3 existentes en Mayo. Por otro lado, cabe destacar, que disminuye el número de notas de criticidad alta pasando de 5 a 3 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar en este mes, pero daremos detalle de un total de 6 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 14 notas para todo el mes, 9 menos que el pasado Abril (11 del patch Tuesday, 6 nuevas y 5 actualizaciones, siendo 8 menos que el pasado mes).

Este mes hay 3 notas críticas (Hot News), todas updates, que destacan por su alto CVVS. Una de ellas la actualización recurrente para el SAP Business Client con Chromium . Además revisaremos en detalle 3 del total de 3 notas altas (aquellas de CVSS mayor o igual a 7) donde este mes localizamos las tres como notas nuevas.

• La nota más crítica del mes (con CVSS 10) es una actualización. Esta nota es la habitual de “Browser Control Google Chromium Delivered with SAP Business Client”.
• Las siguientes en criticidad (CVSS 9.9) son también dos actualizaciones. Una de Remote Code Execution vulnerability in Source Rules of SAP Commerce y otra de Code Injection que afecta a SAP Business Warehouse y SAP BW/4HANA.
• A partir de ahí, localizamos las 3 notas de criticidad alta (high priority) siendo la más relevante con un CVSS de 8.2 una nueva nota de Code Injection vulnerability que efecta a SAP NetWeaver AS ABAP. El resto (8) son de nivel medio y bajo, y no las veremos en detalle.
• Este mes los tipos más predominantes son “Information Disclosure” (4/14 y 2*/11 en patch day) y “Code Injection” (2/14 y 2*/11 en patch day).

En la gráfica (post Mayo 2021 de SAP) podemos ver la clasificación de las notas de Mayo además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

1. Update – Security updates for the browser control Google Chromium delivered with SAP Business Client (2622660): SAP Business Client now includes Chromium version 90.0.4430.93. Compared to the last supported Chromium version (89.0.4389.90), this new version fixes 63 security issues in total, including 22 High Priority patches that are based on externally reported issues. CVSS v3 Base Score: 10 / 10.
2. Update – Remote Code Execution vulnerability in Source Rules of SAP Commerce (3040210): It was updated only 6 days after its initial release on April Patch Day. The note provides a patch for the rules engine in SAP Commerce on-premise and SAP Commerce Cloud. Unfortunately, it is impossible to identify the reason for the update but one can assume that it’s nothing worth mentioning as SAP normally will introduce updated notes with some kind of information about the update reason when more important. CVSS v3 Base Score: 9.9 / 10 (CVE-2021-27602).
3. Update – Code Injection in SAP Business Warehouse and SAP BW/4HANA (2999854): The note that fixes critical Code Injection vulnerabilities in SAP Business Warehouse and SAP BW/4HANA now provides additional correction instructions for SAP BW 7.40 SP3 and SP4. CVSS v3 Base Score: 9.9 / 10 (CVE-2021-21466).
4. Code Injection vulnerability in SAP NetWeaver AS ABAP (3046610): It affects SAP NetWeaver AS ABAP up to version 7.31. These versions include a SAP Basis program that allows the injection of malicious code and thus enables an attacker who has access to the local SAP system to read and overwrite data, as well as initiate a Denial-of-Service attack. Only the need for local access, together with the fact that an attacker requires high privileges to execute the program, prevents this vulnerability from being tagged with a CVSS score of 10. CVSS v3 Base Score: 8.2 / 10 (CVE-2021-27611).
5. Multiple vulnerabilities in SAP Business One, version for SAP HANA (Business-One-Hana-Chef-Cookbook) (3049661): The issues in the cookbook for SAP B1 on SAP HANA are patched with SAP Security Note #3049661. This note can lead to the injection of malicious code allowing an attacker to control the behavior of the entire application. CVSS v3 Base Score: 7.8 / 10 (CVE-2021-27616).
6. Information Disclosure in SAP Business One (Chef business-one-cookbook) (3049755): SAP provides two Chef Cookbooks for automated SAP Business One test system installations on GitHub—one for SAP B1 on MS SQL Server and one for SAP B1 on SAP HANA. The vulnerability in the first Cookbook is described in this note and can lead to an Information Disclosure on payroll data. CVSS v3 Base Score: 7.8 / 10 (CVE-2021-27613).

Enlaces de referencia

Enlaces de referencia del CERT del INCIBE en relación a la publicación de las notas para el mes de Mayo:

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-mayo-2021

Otras referencias, en inglés de SAP y Onapsis (Mayo):

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=576094655

https://onapsis.com/blog/sap-security-patch-day-may-2021

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

• SAP Business Client, versión 6.5;
• SAP Business One (Cookbooks), versión 0.1.9;
• SAP Business One para SAP HANA (Cookbooks), versiones 0.1.6, 0.1.7 y 0.1.9;
• SAP Business Warehouse, versiones 700, 701, 702, 711, 730, 731, 740, 750 y 782;
• SAP BW4HANA, versiones 100 y 200;
• SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
• SAP Focused RUN, versiones 200 y 300;
• SAP GUI for Windows, versiones 7.60 y 7.70;
• SAP NetWeaver:
  • Application Server Java (Applications basadas en Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • AS ABAP, versiones 700, 701, 702, 730 y 731;
• SAP Process Integration (Integration Builder Framework), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50.