Como parte de su paquete de actualizaciones para abril de 2021, SAP lanzó 14 recomendaciones y 5 parches de seguridad para abordar diversos inconvenientes en sus productos, entre los que se encuentra una falla identificada como CVE-2021-27602, descrita como un error de ejecución remota de código que recibió un puntaje de 9.9/10 según el Common Vulnerability Scoring System (CVSS).
Al parecer estas fallas permiten a usuarios autorizados en el software SAP Commerce Backoffice inyectar código malicioso en las reglas del sistema abusando de las capacidades de scripting del motor de reglas: “La explotación exitosa de estas fallas podría desencadenar la ejecución remota de código en el sistema afectado, pudiendo impactar de forma crítica las operaciones comprometidas”, señala el reporte elaborado por la firma de seguridad Onapsis.
La compañía emitió algunas validaciones de seguridad adicionales para mitigar el riesgo de explotación, además de emitir dos recomendaciones adicionales para prevenir otros riesgos: “La primera de estas recomendaciones incluye una actualización para el navegador basado en Chromium de SAP Business Client, mientras que la segunda recomendación se relaciona con la verificación faltante en NetWeaver AS JAVA”, señala el reporte.
Las actualizaciones de abril también incluyen parches para las siguientes fallas:
- CVE-2021-21482: Vulnerabilidad de divulgación de información potencialmente confidencial en NetWeaver Master Data Management
- CVE-2021-21483: Vulnerabilidad de divulgación de información potencialmente confidencial en SAP Solution Manager
- CVE-2021-21485: Vulnerabilidad de divulgación de información potencialmente confidencial en NetWeaver AS for JAVA
- CVE-2021-27608: Error de ruta de servicio sin comillas en SAPSetup
Los reportes restantes se refieren a fallas de seguridad con una clasificación de severidad media en productos como NetWeaver AS for Java, NetWeaver AS para ABAP, Integration Builder Framework, ESR Java Mappings), Focused RUN y HCM Travel Management Fiori Apps V2.
Se recomienda a los administradores de implementaciones afectadas aplicar los parches disponibles a la brevedad para mantener sus redes a salvo de los hackers. Un estudio que SAP y Onapsis publicaron la semana pasada reveló que, en algunos casos, los actores de amenazas comienzan a apuntar a vulnerabilidades recién parcheadas pocos días después de que se publican las actualizaciones de seguridad, por lo que los administradores no deben dejar pasar un solo día para parchear sus sistemas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.