SAP lanza actualizaciones de seguridad para dos fallas de gravedad crítica

El proveedor de software empresarial SAP ha publicado sus actualizaciones de seguridad de abril de 2023 para varios de sus productos, que incluyen correcciones para dos vulnerabilidades de gravedad crítica que afectan al agente de diagnóstico de SAP y a la plataforma de inteligencia empresarial de SAP BusinessObjects.

En total, SAP ha publicado 24 notas, 19 de las cuales se refieren a nuevos temas de diversa importancia y cinco son actualizaciones de boletines anteriores.

Los tres problemas más críticos solucionados esta vez son:

• CVE-2023-27267 : Validación de entrada insuficiente y problema de autenticación faltante que afecta OSCommand Bridge de SAP Diagnostics Agent, versión 720, lo que permite a un atacante ejecutar scripts en agentes conectados y comprometer completamente el sistema. (Puntuación CVSS v3.1: 9,0)
• CVE-2023-28765 : vulnerabilidad de divulgación de información que afecta a SAP BusinessObjects Business Intelligence Platform (Promotion Management), versiones 420 y 430, lo que permite a un atacante con privilegios básicos obtener acceso al archivo lcmbiar y descifrarlo. Esto permitiría al atacante acceder a las contraseñas de los usuarios de la plataforma y apoderarse de sus cuentas para realizar acciones maliciosas adicionales. (Puntuación CVSS v3.1: 9,8)
• CVE-2023-29186 : falla de cruce de directorios que afecta las versiones 707, 737, 747 y 757 de SAP NetWeaver, lo que permite que un atacante cargue y sobrescriba archivos en el servidor SAP vulnerable. (Puntuación CVSS v3.1: 8,7)

Las 11 fallas de seguridad restantes reveladas en el último boletín de seguridad de SAP se refieren a vulnerabilidades de gravedad baja a media.

Si bien estos problemas generalmente no se consideran una prioridad para la aplicación de parches, todavía se  aprovechan en los ataques , especialmente como parte de cadenas de ataques complejas, por lo que deben solucionarse de todos modos.

Parcheado rápido importante

Los piratas informáticos siempre buscan fallas de gravedad crítica en productos ampliamente implementados como los de SAP, que son comunes en las grandes redes corporativas.

SAP es el proveedor de ERP más grande del mundo y tiene el 24 % de la participación de mercado global con 425 000 clientes en 180 países. Más del 90% de Forbes Global 2000 utiliza sus productos ERP, SCM, PLM y CRM.

En febrero de 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) instó a los administradores a parchear un conjunto de vulnerabilidades graves que afectan a las aplicaciones comerciales de SAP para evitar el robo de datos, los ataques de ransomware y la interrupción de procesos y operaciones de misión crítica.

En abril de 2021, se observó a los actores de amenazas atacando fallas reparadas en sistemas SAP sin parches para obtener acceso a redes corporativas.

Por lo tanto, es de vital importancia que los administradores del sistema SAP apliquen los parches de seguridad disponibles lo antes posible.