Recursos afectados:
- SAP Business Client, versión 6.5
- SAP Business One, versiones 9.2 y 9.3
- SAP NetWeaver BI, versiones 7.30,7.31,7.40,7.41 y 7.50
- SAP HANA, versiones 1.0 y 2.0
- SAP WebDynpro, versiones 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS Java, versiones de la 7.10 a la 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
- SAP Hybris Commerce, versiones 6.*
- SAP Plant Connectivity, versión 15.0
- SAP Adaptive Server Enterprise, versión 16.0
- SAP HCM Fiori "People Profile" (GBX01HR), versión 6.0
- SAP Mobile Platform, versión 3.0
- SAP Enterprise Financial Services, versión 6.05, 6.06, 6.16, 6.17, 6.18, 8.0
- SAP Business One Android application, versión 1.2
- Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicación mensual de parches de seguridad,
ha emitido un total de 14 notas de seguridad, de las cuales 1 es una actualización
de una nota de seguridad publicada con anterioridad, 3 de severidad alta, 9 de
de severidad media y 1 de severidad baja,
El tipo de vulnerabilidades publicadas se corresponde a
los siguientes:
- 1 vulnerabilidad de denegación de servicio
- 3 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de falta de comprobación de autorización
- 2 vulnerabilidades de Cross-Site Scripting
- 2 vulnerabilidades de incorrecta validación de XML
- 3 vulnerabilidades de otras tipologías
- La vulnerabilidad de divulgación de información en SAP Business ONE y SAP HANA, podría permitir a un atacante revelar información adicional (datos del sistema, información de depuración, etc.) que ayudaría a aprender sobre un sistema y planificar otros ataques. Esto podría desembocar en la divulgación de información, escalamiento de privilegios y otros ataques. Se ha asignado el código CVE-2018-2458 para esta vulnerabilidad.
- Un atacante puede utilizar la vulnerabilidad de incorrecta validación de XML, presente en SAP BEx Web Java Runtime Export Web Service, para enviar solicitudes XML especialmente diseñadas y no autorizadas que serían procesadas por el analizador XML. El atacante obtendría acceso no autorizado al sistema de archivos del SO. Se ha asignado el código CVE-2018-2462 para esta vulnerabilidad.
- Una vulnerabilidad de falta de comprobación de autorizacion en SAP ECC Sales Support podría permitir a un atacante el acceso a un servicio sin necesidad de autorización y emplear funciones de servicio con acceso restringido. Esto puede desembocar en la divulgación de información, escalado de privilegios y otros ataques.
- SAP Security Patch Day – September 2018 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=499356993
- SAP Cyber Threat Intelligence report – September 2018 https://erpscan.com/press-center/blog/sap-cyber-threat-intelligence-report-september-2018/
- SAP Security Notes September ‘18: Critical Bug in SAP HANA XS https://www.onapsis.com/blog/sap-patch-notes-september-2018