Notas de Seguridad SAP, Noviembre 2023

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas Noviembre 2023

Resumen y highlights del Mes

El número total de notas/parches ha sido de 6, 3 menos que el mes pasado. El número de Hot News ha sido de 2, 1 más que el mes pasado. Por otro lado, cabe destacar que el número de notas de criticidad alta se mantiene en 0. Como siempre dejaremos las notas medias y bajas sin revisar en este mes, pero daremos detalle de un total de 2 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 6 notas para todo el mes (las 6 del patch Tuesday, 3 nuevas y 3 actualizaciones, son 3 notas menos que el pasado patch Tuesday).

Revisaremos en detalle las 2 HotNews de este mes, 1 nueva y 1 actualización (aquellas de CVSS mayor o igual a 7).

1. La nota más crítica del mes (con CVSS 9,8) se trata de una actualización de una nota publicada en el patch day de septiembre 2023, está relacionada con “Missing Authorization check in SAP CommonCryptoLib”.
2. La siguiente nota en criticidad (con CVSS 9,6) se trata de una nota relacionada con “Improper Access Control vulnerability in SAP Business One product installation”
3. Este mes el tipo más predominante es “Information Disclosure vulnerability” (2/6 en patch day).

En la gráfica (post noviembre 2023 de SAP) podemos ver la clasificación de las notas de noviembre, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

1. Update – Missing Authorization check in SAP CommonCryptoLib (3340576): SAP CommonCryptoLib does not perform necessary authentication checks, which may result in missing or wrong authorization checks for an authenticated user, resulting in escalation of privileges. Depending on the application and the level of privileges acquired, an attacker could abuse functionality restricted to a particular user group as well as read, modify or delete restricted data. CVSS v3 Base Score: 9,8 / 10 [CVE-2023-40309].
2. Improper Access Control vulnerability in SAP Business One product installation (3355658): SAP Business One installation does not perform proper authentication and authorization checks for SMB shared folder. As a result any malicious user can read and write to the SMB shared folder. Additionally, the files in the folder can be executed or be used by the installation process leading to considerable impact on confidentiality, integrity and availability. The impacted components are Crystal Report (CR) shared folder, Traditional Mobile app (attachment path), RSP (log folder logic), Job Service and BAS (file upload folder).CVSS v3 Base Score: 9,6 / 10 [CVE-2023-31403].

Enlaces de referencia

Referencias, en inglés de SAP y Onapsis (noviembre):

Digital Library (sap.com)

SAP Security Patch Day for November 2023| Onapsis

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

• SAP CommonCryptoLib, Version–8
• SAP NetWeaver AS ABAP, SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise Versions -KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KERNEL 7.22, KERNEL 8.04, KERNEL64UC 7.22, KERNEL64UC 7.22EXT, KERNEL64UC 7.53, KERNEL64UC 8.04, KERNEL64NUC 7.22, KERNEL64NUC 7.22EXT
• SAP Web Dispatcher, Versions -7.22EXT, 7.53, 7.54, 7.77, 7.85, 7.89
• SAP Content Server, Versions -6.50, 7.53, 7.54
• SAP HANA Database, Version–2.0
• SAP Host Agent, Version–722
• SAP Extended Application Services and Runtime (XSA), Versions -SAP_EXTENDED_APP_SERVICES 1, XS_ADVANCED_RUNTIME 1.00
• SAPSSOEXT, Version–17
• SAP Business One, Version –10.0