Último Security Patch Day del año

Security Patch Day - Diciembre 24

Análisis del Security Patch Day para los muy cafeteros

SAP SECURITY

Destacados del Análisis de las Notas de Seguridad de SAP de Diciembre:

  • Resumen de Diciembre: Se lanzaron trece parches de seguridad nuevos y actualizados de SAP, incluyendo una nota de máxima prioridad (HotNews) y cuatro notas de alta prioridad.

  • Notas de Alta Prioridad de SAP: Se lanzaron dos notas nuevas que solucionan vulnerabilidades de «Falsificación de Solicitudes del Lado del Servidor» y «Divulgación de Información». Otras dos notas son re-publicaciones del Día de Parches de Noviembre.

SAP lanzó trece notas de seguridad en su Security Patch Day de diciembre

  • La Nota de Seguridad de SAP #3542543, con un puntaje de severidad CVSS de 7.2, corrige una vulnerabilidad de Falsificación de Solicitud del Lado del Servidor (SSRF) en el Administrador de SAP NetWeaver (System Overview) dentro de la pila AS Java. El problema surge de un servlet vulnerable que carece de controles de autorización adecuados, lo que permite a posibles atacantes enumerar los puntos finales HTTP accesibles en la red interna a través de solicitudes HTTP cuidadosamente diseñadas. Si se explota con éxito, un atacante podría desencadenar un ataque SSRF que pudiera impactar en la integridad y confidencialidad de los datos.

  • La Nota de Seguridad de SAP #3504390 proporciona una actualización a una vulnerabilidad inicialmente divulgada durante el Security Patch Day de noviembre. Se identificó una vulnerabilidad que puede ser explotada por un atacante no autenticado a través de solicitudes HTTP maliciosamente diseñadas. La actualización aumentó notablemente el puntaje de severidad CVSS de 5.3 a 7.5, elevando la clasificación de riesgo de la vulnerabilidad de Media a Alta.

  • La Nota de Alta Prioridad #3520281 proporciona una actualización a una vulnerabilidad inicialmente divulgada durante el Security Patch Day de noviembre. Se detectó una vulnerabilidad de Cross-Site Scripting (XSS) en el SAP Webdispatcher. Esta actualización modifica principalmente la sección de ‘Razones y prerrequisitos’ de la nota original, sin requerir acciones adicionales de los clientes.

Análisis de la nueva nota HotNews en detalle:

  • La Nota de Seguridad de SAP #3536965, con un puntaje CVSS de 9.1, es la única nota HotNews en diciembre. Se  identificó vulnerabilidades en los Servicios de Documentos de Adobe. Estas vulnerabilidades, rastreadas como CVE-2024-47578, CVE-2024-47579 y CVE-2024-47580, exponen a los sistemas afectados a posibles ataques de falsificación de solicitudes del lado del servidor (SSRF), acceso no autorizado a archivos y divulgación de información.

  • La vulnerabilidad más grave (CVE-2024-47578) tiene un puntaje crítico de CVSS de 9.1 y permite a un usuario con privilegios administrativos potencialmente comprometer todo el sistema, leer o modificar archivos y alterar la disponibilidad del sistema. Las otras dos vulnerabilidades (CVE-2024-47579 y CVE-2024-47580) permiten a los administradores autenticados explotar servicios web relacionados con PDF para leer archivos internos del servidor mediante técnicas de manipulación sin comprometer la integridad o disponibilidad del sistema.

También está disponible una FAQ para la Nota de Seguridad de SAP en el #3544926.

Análisis de la nueva nota de Alta Prioridad en detalle:

  • La Nota de Seguridad de SAP #3469791, con un puntaje CVSS de 8.5, reportada por ORL, permite a un atacante autenticado manipular solicitudes de Llamada a Función Remota (RFC), potencialmente permitiéndoles interceptar y explotar credenciales para servicios remotos. Al crear solicitudes RFC especialmente diseñadas para destinos restringidos, los actores malintencionados pueden obtener acceso no autorizado a credenciales de servicios sensibles, que luego podrían ser utilizadas para comprometer completamente el servicio remoto objetivo.

  • Hay una solución temporal disponible que especifica que el parámetro del perfil “rfc/dynamic_dest_api_only = 1” desactivará completamente el destino dinámico heredado, bloqueando efectivamente el vector de explotación potencial para solicitudes RFC no autorizadas. Al implementar esta configuración, los administradores pueden prevenir temporalmente que los atacantes creen solicitudes maliciosas a destinos restringidos. Tenga en cuenta que esta es una solución temporal y, por lo tanto, se debe aplicar el parche para abordar completamente la vulnerabilidad.

SAP advierte que esta solución temporal puede causar fallos en todas las aplicaciones que utilicen destinos heredados.

Publicación completa del SAP Security Patch Day 12/24

# NotaTítuloPrioridadCVSS
3536965[CVE-2024-47578] Múltiples vulnerabilidades en SAP NetWeaver AS para JAVA (Servicios de Documentos Adobe). CVE adicional – CVE-2024-47579, CVE-2024-47580. Producto – SAP NetWeaver AS para JAVA (Servicios de Documentos Adobe), Versiones – ADSSSAP 7.50Noticias Importantes9.1
3520281Actualización a la Nota de Seguridad lanzada en el Día de Parche de Noviembre 2024: [CVE-2024-47590] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP Web Dispatcher. Producto – SAP Web Dispatcher, Versiones – WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12, 9.13Alta8.8
3469791[CVE-2024-54198] Vulnerabilidad de Divulgación de Información a través de Llamada de Función Remota (RFC) en SAP NetWeaver Application Server ABAP. Producto – SAP NetWeaver Application Server ABAP, Versiones – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93Alta8.5
3504390Actualización a la Nota de Seguridad lanzada en el Día de Parche de Noviembre 2024: [CVE-2024-47586] Vulnerabilidad de Desreferencia de Puntero NULO en SAP NetWeaver Application Server para ABAP y Plataforma ABAP. Producto – SAP NetWeaver Application Server para ABAP y Plataforma ABAP, Versiones – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12, 9.13Alta7.5
3542543[CVE-2024-54197] Server-Side Request Forgery en SAP NetWeaver Administrator (Vista del Sistema). Producto – SAP NetWeaver Administrator (Vista del Sistema), Versión – LM-CORE 7.50Alta7.2
3351041[CVE-2024-47582] Vulnerabilidad de Expansión de Entidad XML en SAP NetWeaver AS JAVA. Producto – SAP NetWeaver AS JAVA, Versión – LM-CORE 7.50Media5.3
3524933[CVE-2024-32732] Vulnerabilidad de Divulgación de Información en SAP BusinessObjects Business Intelligence platform. Producto – SAP BusinessObjects Business Intelligence platform, Versiones – ENTERPRISE 430, 2025Media5.3
3536361[CVE-2024-47585] Falta de comprobación de autorización en SAP NetWeaver Application Server para ABAP y Plataforma ABAP. Producto – SAP NetWeaver Application Server para ABAP y Plataforma ABAP, Versiones – SAP_BASIS 740, SAP_BASIS 750Media4.3
3515653Actualización 1 a la Nota de Seguridad 3433545: [CVE-2024-42375] Múltiples vulnerabilidades de Carga de Archivos Ilimitada en SAP BusinessObjects Business Intelligence Platform. CVE adicional – CVE-2024-28166, CVE-2024-41731. Producto – SAP BusinessObjects Business Intelligence Platform, Versiones – ENTERPRISE 430, 2025Media4.3
3433545Actualización a la Nota de Seguridad lanzada en el Día de Parche de Agosto 2024: [CVE-2024-42375] Múltiples vulnerabilidades de Carga de Archivos Ilimitada en SAP BusinessObjects Business Intelligence Platform. CVE adicional – CVE-2024-28166, CVE-2024-41731. Producto – SAP BusinessObjects Business Intelligence Platform, Versiones – ENTERPRISE 430, 2025Media4.3
3522332[CVE-2024-47581] Falta de comprobación de autorización en SAP HCM (Aprobar Hoja de Tiempos versión 4). Producto – SAP HCM, Versión – S4HCMGXX 101Media4.3
3504847[CVE-2024-47576] Vulnerabilidad de Secuestro de DLL en SAP Product Lifecycle Costing. Producto – SAP Product Lifecycle Costing, Versión – PLC_CLIENT 4Baja3.3
3535451[CVE-2024-47577] Vulnerabilidad de Divulgación de Información en SAP Commerce Cloud. Producto – SAP Commerce Cloud, Versiones – HY_COM 2205, COM_CLOUD 2211Baja2.7

¿Te ayudamos?

Contamos con una base de consultores certificados por SAP que brindan un excelente servicio de Administración SAP así como el análisis de vulnerabilidades SAP y remediación de las mismas.

Puedes contactarnos a través del formulario de contacto o a través de nuestra dirección de correo electrónico

En AURIT estaremos encantados de poder ayudarte.

Paseo de la Castellana, 77
Madrid M 28046
+34910606189
contacto@aurit.es

Linkedin Twitter

Enlaces

Sobre AURIT

Ajustes de privacidad

Decida qué cookies quiere permitir. Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador. Aprenda más sobre las cookies que usamos.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

  • Block all cookies with personal data
  • Essentials
  • Funcionalidad
  • Análisis
  • Publicidad

Este sitio web hará:

Este sitio web no:

  • Recordar qué grupo de cookies aceptaste
  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Guardar y cerrar