Notas de Seguridad SAP, Noviembre 2021

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas Noviembre 2021

Resumen y highlights del Mes

El número total de notas/parches ha disminuido con respecto al último mes. Además de esta bajada en el número de notas totales, el número de Hot News también disminuye, siendo 3 las que encontrábamos el mes pasado con respecto a 1 existente en Noviembre. Por otro lado, cabe destacar, que aumentan el número de notas de criticidad alta pasando de 1 a 3 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar en este mes, pero daremos detalle de un total de 4 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 11 notas para todo el mes, 6 menos que el pasado Octubre (7 del patch Tuesday, 5 nuevas y 2 actualizaciones, siendo 7 menos que el pasado mes).

Tenemos 1 única nota crítica (Hot News) nueva en este mes que destacan por su alto CVVS. Además revisaremos en detalle 3 del total de 3 notas altas (aquellas de CVSS mayor o igual a 7) donde este mes localizamos 2 nueva y 1 actualización.

  • La nota más crítica del mes (con CVSS 9.6) es una de Missing Authorization check que afecta a ABAP Platform Kernel.
  • A partir de ahí, localizamos las 3 notas de criticidad alta (high priority), siendo la más relevante con un CVSS de 8.3 otra nota nueva de Missing Authorization check que en este caso afecta a SAP Commerce. El resto (8) son de nivel medio y bajo, y no las veremos en detalle.
  • Este mes el tipo más predominante es el de “Missing Authorization Check” (4/11 y 4/7 en patch day).

En la gráfica (post Noviembre 2021 de SAP) podemos ver la clasificación de las notas de Noviembre además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

  1. Missing Authorization check in ABAP Platform Kernel (3099776): It patches a Missing Authorization Check vulnerability in ABAP Platform Kernel that can result in an escalation of privileges for an authenticated business user. The vulnerability affects trusted connections to other systems via RFC and HTTP communication, allowing the user to execute application-specific logic in other systems. CVSS v3 Base Score: 9.6 / 10 (CVE-2021-40501).
  2. Missing Authorization check in SAP Commerce (3110328): This note patches a Missing Authorization Check vulnerability, resulting in an escalation of privileges for an authenticated user. Any SAP Commerce installation using Commerce Organization is impacted by this vulnerability that can highly compromise the system’s integrity and availability. CVSS v3 Base Score: 8.3 / 10 (CVE-2021-40502).
  3. Several security vulnerabilities in FRP 5.4.0 and FR Engine 5.4.0 (2827086): It affects SAP Forecasting and Replenishment for Retail (FRP or F&R). This software component can be connected to SAP Retail but the vulnerable engine can also be used with purchasing systems of other software vendors. SAP F&R is used by retail companies to cut surplus stock and reduce stockouts in distribution centers and stores. It is also used to increase transparency in the supply chain. The note patches known vulnerabilities in Open Source libraries used by the software. SAP mentions a Memory Corruption vulnerability and a Denial of Service vulnerability, which can lead to a complete system crash in the worst case. CVSS v3 Base Score: 7.9 / 10.
  4. Update – Hard-coded Credentials in CA Introscope Enterprise Manager (Affected products: SAP Solution Manager and SAP Focused (2971638): Hard-coded default passwords for the Admin and the Guest user allowed a remote attacker to bypass authentication, compromising the confidentiality of the service. CVSS v3 Base Score: 7.5 / 10 (CVE-2020-6369).

Enlaces de referencia

Enlaces de referencia del CERT del INCIBE en relación a la publicación de las notas para el mes de Noviembre:

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-noviembre-2021

Otras referencias, en inglés de SAP y Onapsis (Noviembre):

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864

https://onapsis.com/blog/sap-security-patch-day-november-2021-critical-patch-abap-platform-kernel

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

  • CA Introscope Enterprise Manager (SAP Solution Manager y SAP Focused Run), versiones 9.7, 10.1, 10.5, 10.7;
  • SAP ABAP Platform Kernel, versiones 7.77, 7.81, 7.85, 7.86;
  • SAP Commerce, versiones 2105.3, 2011.13, 2005.18, 1905.34;
  • SAP ERP Financial Accounting (RFOPENPOSTING_FR) , versiones SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730, SAPSCORE 125, S4CORE, 100, 101, 102, 103, 104, 105;
  • SAP ERP HCM Portugal, versiones 600, 604, 608;
  • SAP GUI para Windows, versiones anteriores a 7.60 PL13, 7.70 PL4;
  • SAP NetWeaver AS para ABAP y ABAP Platparam, versiones 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756;

¿Te ha gustado?

¡Compártelo en redes sociales!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Categorías

Calendario de entradas

Nuestros servicios

keyboard_arrow_up