SAP Security Updates T4 2017

Como en el trimestre pasado, analizamos las  notas de seguridad de SAP del cuarto trimestre de 2017.

A cierre de año, destacar que desde 2009 es el año con menor número de notas de seguridad de 274, respecto a 314 del año pasado.

Tenemos 4 notas críticas (Hot News) en este trimestre, a las cuales añadiremos para la revisión en detalle las 7 notas de nivel alto.

• Llegamos a 6 meses sin “Hot News” por parte de SAP, pero en Noviembre, tras la revisión de notas recientes de alta criticidad pendientes de valoración (CVSS) alguna de ellas se clasificó con criticidad máxima.
• Todas la notas críticas (“Hot News”) curiosamente tienen la misma valoración (CVSS de 9.1). Todas ellas son actualizaciones de notas anteriormente publicadas, aunque en dos de ellas una mayor investigación la que lleva a clasificarlas como críticas. Precisamente estas dos notas relacionadas con LaMa (antes LVM) – Landscape Administration – son las notas más relevantes a considerar.
• De las notas altas, excepto una, las 6 restantes tienen un nivel 7,5 de CVSS o mayor.

Resumen T4 2017 

Tenemos un total de 81 notas para todo el trimestre (52 de los patch tuesday):

• En Octubre se han publicado un total de 30 notas (16 en el Security Notes Tuesday – 12 nuevas y 4 actualizaciones de notas anteriores).
  • A destacar la actualización de las notas 2264948 y 2264949, ya que los cambios publicados por SAP en relación a actividades manuales son considerables (ref. Onapsis October).
  • En este mes no existe “hot news” (críticas), pero hay 2 de criticidad alta (high priority) y una de ellas con CVSS de 9.1 se convierte en Hot News en noviembre, además de 1 alta que es actualización de una nota de Agosto 2017.
  • La nota con valor más alto (9.1), tras ser revisada en noviembre es de escalado de privilegios afectando a LaMa (antes LVM).
  • Este mes el tipo más predominante has sido el de fuga de información (“Information Disclosure”) (9/30 y 7/16 en patch tuesday), seguido de los problemas con autorizaciones (“Missing Authorization Check” & Switchable Authorization Check” (4+4/30).

• En Noviembre se han publicado un total de 32 notas (21 en el Security Notes Tuesday / SAP Security Patch Day).
  • A destacar que existen 3 “hot news” (críticas), siendo todas actualizaciones de notas previas, dos las del mes anterior de LaMa/LVM y otra de septiembre de 2016.
  • La única nota alta (con CVSS de 8.0) tiene que ver con la obtención de acceso completo a “SAP Management Console”.
  • El tipo más predominante es el “Cross-Site Scripting – XSS” (6/32 y 5/22 en patch tuesday), seguido por igual del de fuga de información (“Information Disclosure”); y falta de autorizaciones (“Missing Authorization Check”) (5/32).

• En Diciembre se han publicado un total de 19 notas (15 en el Security Notes Tuesday / SAP Security Patch Day).
  • A destacar la unica “hot news” (críticas) vuelve a ser actualización de una nota previa, de noviembre de 2016.
  • Hay 3 notas de criticidad alta:
    • Vulnerabilidad por falta de chequeo de autorización en conexiones RFC confiables (Trusted RFCs – SMT1)
    • Vulnerabilidad en “Apache Struts”.
    • Vulnerabilidad en SAP BI por falta de chequeo de autorizaciones.
  • Del total de notas (23 de patch Tuesday) la distribución es la misma entre las principales 5 categorías (Info Disclosure, XSS, DoS, Code Injection & Missing Auth.) es decir, 2 notas de cada tipo.

En la gráfica (post Diciembre 2017 de SAP) podemos ver la evolución y clasificación de las notas de los 3 meses del cuarto trimestre del año (2017), además de los 3 meses del pasado trimestre (solo las notas del Sec. Tuesday / Patch Day – by SAP):

In the previous graph (post December 2017) we can see the evolution and classification of the notes of the 3 months of the fourth quarter of the year (2017), in addition to the 3 previous  (only the notes of Sec. Tuesday / Patch Day – by SAP)

Critical Notes  (“hot news”)

A continuación, os dejamos el resumen de la «Critical Notes» (en inglés)

Disclosure of Information/Elevation of Privileges LVM 2.1 and LaMa 3.0 (2531241): This is a note from October that was set as Hot News in November (raising the level to 9.1). SAP Landscape Management (LaMa) is the changed name for the SAP product once called Landscape Virtualization Management (LVM). LaMa is a management tool that enables the SAP basis administrator to automate SAP system operations. LaMa requires passwords of managed systems for operation. During operation relevant data is required for restarting a process for recovery reasons. Confidential data is therefore stored in Netweaver Java Secure Store. This data, which should not be able to be read, can be accessed by an attacker under certain conditions. CVSS v3 Base Score: 9.1 / 10

Potential Denial of Service Vulnerability in SAP Standalone Enqueue Server (2476937):  The Standalone Enqueue Server makes an enqueue function available to AS ABAP and AS Java instances. The Enqueue Server provides a locking service and locking clients (the application servers) communicate directly with this server through TCP. The Enqueue Server holds critical data in the lock table in the main memory: all locks that are currently held by users. This vulnerability allows an attacker to remotely exploit the Enqueue server, making its resources unavailable. Data on that server then could be lost and cannot be restored even when the Enqueue Server is restarted. All transactions that have held locks therefore would have to be reset. CVSS v3 Base Score: 7.5 / 10

Directory Traversal Vulnerability in SAP NetWeaver AS Java Web Container (2486657):  It is an update to an existing note (Q3-August). These types of attacks always affect the confidentiality of information, since it allows an attacker to read arbitrary files that shouldn’t be accessed. Its high impact on confidentiality makes its CVSS score the highest again of this month. It is not critical however, since there is no impact on availability or integrity and an attack should be performed with privileges. AS Java Web Container without proper validation of path information could have an impact due to an attacker reading content of arbitrary files on the remote server, exposing sensitive data. CVSS v3 Base Score: 7.7 / 10

Disclosure of Information/Elevation of Privileges LaMa 3.0 (2520772): Related to first note in this list, which also became Hot News after deeper review from SAP and its classification on CVSS escale. The risk an issue is the same: high privilege access credentials, which should not be able to be read, can be accessed by an attacker under certain conditions. CVSS v3 Base Score: 9.1 / 10

Code Injection vulnerability in Text Conversion (2371726): It is again an update to a previous note (September 2016), with some additional instructions. Text Conversion, which enables SAP standard text to be replaced by industry specific text, allows an attacker to inject code that can be executed by the application. An attacker could thereby control the behavior of the application considering well-known impacts such as: Unauthorized execution of commands, Sensitive information disclosure or Denial of Service. CVSS v3 Base Score: 9.1 / 10

Full access to SAP Management Console (2500044): A private key for instance communication is stored in Java and an attacker might be able to access this key. CVSS v3 Base Score: 8.0 / 10

OS Command Injection vulnerability in Report for Terminology Export (2357141): This note has been re-released (prev. Nov 2016) with updated “Solution and Attachment” information, which describes additional manual steps to fix functionality

Otras referencias

1. SAP Blog  October
2. Onapsis: Security Blog October
3. SAP Blog November
4. Onapsis: Security Blog November
5. SAP Blog December
6. Onapsis: Security Blog December