Vulnerabilidades día cero en SAP HANA, Business Objects, Business Intelligence, Commerce, OrientDB, NetWeaver finalmente corregidas. Comprobar y parchear

Los desarrolladores de SAP acaban de lanzar su más reciente paquete de actualizaciones de seguridad, que incluye un total de 23 parches para corregir diversas vulnerabilidades, incluyendo cinco fallas críticas en Hot News. Acorde al reporte de los expertos de un curso de hacking, la más severa de estas fallas podría conducir a un compromiso de SAP Commerce.

Identificada como CVE-2020-6238, la falla recibió un puntaje de 9.3/10 en la escala del Common Vulnerability Scoring System (CVSS), y podría ser explotada de forma remota y sin autenticación en el sistema objetivo. 

Los especialistas del curso de hacking afirman que un actor de amenazas podría explotar la falla de seguridad para acceder a archivos e información confidencial en la red; en algunos casos, el hacker malicioso podría afectar la funcionalidad de los diversos servicios de SAP y Oracle.

Además de estos reportes, SAP anunció la corrección de una vulnerabilidad en SAP NetWeaver Information Management, un punto de acceso centralizado para que los usuarios busquen directorios, administren archivos y otras tareas. La falla fue identificada como CVE-2020-6225 y, de ser explotada, podría permitir a un actor de amenazas cargar, sobrescribir, borrar o corromper archivos arbitrarios con una validación de entrada arbitraria.

La compañía también publicó un aviso de seguridad sobre una vulnerabilidad de inyección de código malicioso. Identificada como CVE-2020-6230, esta falla incluye autenticación y ejecución de script, y recibió un puntaje de 9.1/10 en la escala CVSS, mencionan especialistas del curso de hacking.

En los parches de seguridad también se encuentran cinco notas de seguridad de alta prioridad, la principal se refiere a la ausencia de un control de autenticación en el SAP Solution Manager. Esta vulnerabilidad, identificada como CVE-2020-6235, puede permitir que un actor de amenazas lea información confidencial o abuse del control de autenticación de un componente para acceder a funciones administrativas con altos privilegios.

Más errores prioritarios fueron corregidos en la actualización de Abril, incluyendo una falla presente en Business Objects y Business Intelligence Platform. Identificada como CVE-2020-6237, esta vulnerabilidad consiste en una escalada de privilegios en los sistemas afectados. El último de los reportes se refiere a CVE-2020-6208, una vulnerabilidad en Crystal Report que recibió un puntaje de 8.1/10 en la escala CVSS.

El resto de las fallas estaban presentes en ERP & S/4 HANA, NetWeaver, Fiori Launchpad, Company Client, S/4 HANA y SAP Commerce. Estas vulnerabilidades son consideradas de prioridad media y no se han presentado ataques en escenarios reales.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas