Notas de Seguridad SAP, Octubre 2021

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas Octubre 2021

Resumen y highlights del Mes

El número total de notas/parches ha disminuido con respecto al último mes. Además de esta bajada en el número de notas totales, el número de Hot News disminuye, siendo 7 las que encontrábamos el mes pasado con respecto a las 3 existentes en Septiembre. Por otro lado, cabe destacar, que disminuyen el número de notas de criticidad alta pasando de 2 a solamente 1 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar en este mes, pero daremos detalle de un total de 4 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 17 notas para todo el mes, 4 menos que el pasado septiembre (14 del patch Tuesday, 13 nuevas y 1 actualización, siendo 5 menos que el pasado mes).

Tenemos 2 notas críticas (Hot News) nuevas, siendo el total de 3 en este mes que destacan por su alto CVVS, una de ellas la actualización recurrente para el SAP Business Client con Chromium . Además revisaremos en detalle el total de las notas altas (aquellas de CVSS mayor o igual a 7), una única nota nueva en este mes.

• La nota más crítica del mes (con CVSS 10) sería la actualización de “Browser Control Chromium Delivered with SAP Business Client (2622660)”.
• Las siguientes en criticidad (con CVSS 9.8 y 9.1) son 2 notas que solucionan problemas con versiones de componentes de software de código abierto (la primera nota) y falta de chequeos de autorización en SAP NetWeaver AS ABAP y ABAP Platform (segunda nota).
• A partir de ahí, localizamos una nota de criticidad alta (high priority) con un CVSS de 7.8 relacionada con “SAP SuccessFactors Mobile Application for Android”. El resto (13) son de nivel medio y bajo, y no las veremos en detalle.
• Este mes los tipos más predominantes son “Denial of Service” (3/17 y 3/14 en patch day), “Information Disclosure” y “Cross-Site Scripting” (ambos con 2/17 y 2/14 en patch day).

En la gráfica (post octubre 2021 de SAP) podemos ver la clasificación de las notas de octubre además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

1. Update – Security updates for the browser control Google Chromium delivered with SAP Business Client (2622660): It provides a SAP Business Client Patch with the latest tested Chromium fixes. SAP Business Client customers already know that updates of this note always contain important fixes that must be addressed. This note will be modified periodically based on web browser updates by the open source project Chromium. The note priority is based on the highest CVSS score of all the vulnerabilities fixed in the latest browser release. CVSS v3 Base Score: 10 / 10 .
2. Potential XML External Entity Injection Vulnerability in SAP Environmental Compliance (3101406): It patches a potential Injection Vulnerability in SAP Environmental Compliance. Functionality Data Import from Excel Template in SAP Environmental Compliance 3.0 uses open source software component versions having vulnerabilities CVE-2020-10683, BDSA-2017-0180, CVE-2021-23926. Consequently this functionality is potentially at risk of XML External Entity Injection attack. To fix that, two open source software component versions are replaced by secure version. Additionally, a new optional API no longer uses the vulnerable open source software component.. CVSS v3 Base Score: 9,8 / 10 (Multiple CVEs).
3. Improper Authorization in SAP NetWeaver AS ABAP and ABAP Platform (3097887): It contains a fix to an issue with lack of authorization check in the software logistics system of SAP NetWeaver AS ABAP and ABAP Platform. The issue enables a malicious user to transfer ABAP code artifacts or content, by-passing the established quality gates. By this vulnerability malicious code can reach quality and production systems and may completely compromise systems confidentiality, integrity, and availability. Then, a malicious user with developer and administrator permission may use tools of the software logistics system, for which not necessary authorizations are checked properly. To fix this, the vulnerable report is deleted for future versions and the report is made unavailable with a LEAVE PROGRAM statement by the given correction instruction and Support Packages. CVSS v3 Base Score: 9.1 / 10 (CVE-2021-38178).
4. Denial of service (DOS) in the SAP SuccessFactors Mobile Application for Android devices (3077635): It patches a vulnerability that has been identified in SAP SuccessFactors Mobile Application for Android, which allows an attacker to prevent legitimate users from accessing a service, either by crashing or flooding the service, which can lead to denial of service or also lead to phishing attack, that can be used for staging other types of attacks. Several measures have been taken to resolve the identified vulnerability in the most recent software update. This vulnerability impacts users who are using the Android mobile application version released previous to 2018. To fix that, download the latest version of the SAP SuccessFactors Android mobile application so your organization is not at risk of any threats highlighted from this vulnerability. CVSS v3 Base Score: 7.8 / 10 (CVE-2021-40498).

Enlaces de referencia

Enlaces de referencia del CERT del INCIBE en relación a la publicación de las notas para el mes de Octubre:

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-octubre-2021

Otras referencias, en inglés de SAP y Onapsis (Octubre):

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983

https://onapsis.com/blog/sap-security-patch-day-october-2021-critical-patches-sap-environmental-compliance-and-sap

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

• SAP Business Client, versión 6.5;
• SAP Business One, versión 10.0;
• SAP BusinessObjects Analysis para OLAP, versión 420 y 430;
• SAP BusinessObjects Business Intelligence Platform, versión 420 y 430;
• SAP Environmental Compliance, versión 3.0;
• SAP NetWeaver:
  • Application Server for ABAP (SAP Cloud Print Manager and SAPSprint), versión 7.70, 7.70PI y 7.70BYD;
  • AS ABAP and ABAP Platform, versión 700, 701, 702, 710, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 785;
  • Versión 700, 701, 702 y 730;
• SAP SuccessFactors Mobile Application, versiones anteriores a 2018;
• SAPUI5, versión 750, 753 y 754;