Home / Node / Boletín de INCIBE-CERT del 13-04-2022

Boletín de INCIBE-CERT del 13-04-2022

Actualización de seguridad de SAP de abril de 2022

Publication date: 
04/13/2022
Importance: 
5 - Crítica
Affected resources: 
  • Fiori Launchpad, versiones 754, 755 y 756;
  • SAP 3D Visual Enterprise Viewer, versión 9;
  • SAP Business Client, versión 6.5;
  • SAP BusinessObjects Business Intelligence Platform (BI Workspace), versión 420;
  • SAP BusinessObjects Business Intelligence Platform, versiones 420 y 430;
  • SAP BusinessObjects Enterprise (Central Management Server), versiones 420 y 430;
  • SAP Commerce, versiones 1905, 2005, 2105 y 2011;
  • SAP Content Server, versión 7.53;
  • SAP Customer Checkout, versión 2.0;
  • SAP Customer Checkout_SVR, versión 2.0;
  • SAP Focused Run (Simple Diagnostics Agent), versión 1.0;
  • SAP HANA Extended Application Services, versión 1;
  • SAP Innovation Management, versión 2;
  • SAP Manufacturing Integration and Intelligence, versiones 15.1, 15.2, 15.3 y 15.4;
  • SAP NetWeaver (EP Web Page Composer), versiones 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver (Internet Communication Manager), versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 y 7.86;
  • SAP NetWeaver ABAP Server and ABAP Platform, versiones 740, 750 y 787;
  • SAP NetWeaver Application Server ABAP and ABAP Platform, versiones 700, 710, 711, 730, 731, 740 y 750-756;
  • SAP NetWeaver Application Server Java, versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 y 7.53;
  • SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel), versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
  • SAP NetWeaver Application Server for Java, versión 7.50;
  • SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver and ABAP Platform, versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
  • SAP SQL Anywhere Server, versión 17.0;
  • SAP Web Dispatcher, versiones 7.22, 7.22EXT, 7.49, 7.53, 7.77, 7.81, 7.83, 7.85, 7.86 y 7.87;
  • SAPS/4HANA(Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer), versiones 104, 105 y 106;
  • SAPUI5 (vbm library), versiones 750, 753, 754, 755 y 756;
  • SAPUI5, versiones: 750, 753, 754, 755, 756 y 200.
Description: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solution: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detail: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 22 notas de seguridad y 10 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 4 de severidad alta, 13 de severidad media y 2 de severidad baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidades de ejecución remota de código;
  • 3 vulnerabilidades de Cross-Site Scripting (XSS);
  • 3 vulnerabilidades de denegación de servicio (DoS);
  • 3 vulnerabilidades de divulgación de información;
  • 1 vulnerabilidad de escalada de privilegios;
  • 1 vulnerabilidad de falta de comprobación de entrada;
  • 2 vulnerabilidades de falta de validación XML;
  • 1 vulnerabilidad de redirección URL;
  • 1 vulnerabilidad de directory traversal;
  • 1 vulnerabilidad de Cross-Side Request Forgery (CSRF);
  • 1 vulnerabilidad de falta de autorización;
  • 1 vulnerabilidad de otro tipo.

La nota de seguridad más destacada del mes se refiere a la vulnerabilidad en Spring Framework en SAP HANA Extended Application Services, con el identificador CVE-2022-22965 asignado.

Encuesta valoración

Vulnerabilidad RCE en Apache Struts

Publication date: 
04/13/2022
Importance: 
4 - Alta
Affected resources: 

Struts, versiones desde la 2.0.0 hasta la 2.5.29.

Description: 

El investigador Chris McCown ha reportado una vulnerabilidad de ejecución remota de código (RCE) con severidad alta, cuya explotación podría permitir a un atacante tomar el control del sistema afectado.

Solution: 

Evitar el uso de la evaluación OGNL (Object Graph Navigation Language) forzada en datos de entrada de un usuario no confiable y/o actualizar a Struts 2.5.30 o versiones superiores.

Detail: 

La corrección para la vulnerabilidad CVE-2020-17530 estaba incompleta, ya que algunos atributos de la etiqueta podrían realizar una doble evaluación si un desarrollador aplicara la evaluación OGNL mediante la sintaxis %{...}, posibilitando la ejecución de código remoto. Se ha asignado el identificador CVE-2021-31805 para esta vulnerabilidad.

Encuesta valoración

Actualizaciones de seguridad de Microsoft de abril de 2022

Publication date: 
04/13/2022
Importance: 
5 - Crítica
Affected resources: 
  • .NET Framework,
  • Active Directory Domain Services,
  • Azure SDK,
  • Azure Site Recovery,
  • LDAP - Lightweight Directory Access Protocol,
  • Microsoft Bluetooth Driver,
  • Microsoft Dynamics,
  • Microsoft Edge (basado en Chromium),
  • Microsoft Graphics Component,
  • Microsoft Local Security Authority Server (lsasrv),
  • Microsoft Office Excel,
  • Microsoft Office SharePoint,
  • Microsoft Windows ALPC,
  • Microsoft Windows Codecs Library,
  • Microsoft Windows Media Foundation,
  • Power BI,
  • Role: DNS Server,
  • Role: Windows Hyper-V,
  • Skype para Business,
  • Visual Studio,
  • Visual Studio Code,
  • Windows Ancillary Function Driver para WinSock,
  • Windows App Store,
  • Windows AppX Package Manager,
  • Windows Cluster Client Failover,
  • Windows Cluster Shared Volume (CSV),
  • Windows Common Log File System Driver,
  • Windows Defender,
  • Windows DWM Core Library,
  • Windows Endpoint Configuration Manager,
  • Windows Fax Compose Form,
  • Windows Feedback Hub,
  • Windows File Explorer,
  • Windows File Server,
  • Windows Installer,
  • Windows iSCSI Target Service,
  • Windows Kerberos,
  • Windows Kernel,
  • Windows Local Security Authority Subsystem Service,
  • Windows Media,
  • Windows Network File System,
  • Windows PowerShell,
  • Windows Print Spooler Components,
  • Windows RDP,
  • Windows Remote Procedure Call Runtime,
  • Windows schannel,
  • Windows SMB,
  • Windows Telephony Server,
  • Windows Upgrade Assistant,
  • Windows User Profile Service,
  • Windows Win32K,
  • Windows Work Folder Service
  • YARP reverse proxy.
Description: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de abril y que incluye toda la información comprendida entre el día 09/03/2022 y el día 12/04/2022 con la publicación del boletín de este mes, consta de 157 vulnerabilidades (con CVE asignado), calificadas como: 10 de severidad crítica, 116 importantes, 3 moderadas y 28 sin severidad asignada.

Solution: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detail: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • suplantación de identidad (spoofing).

Entre las vulnerabilidades corregidas se encuentran dos 0day, ambas de severidad alta:

  • CVE-2022-24521: escalada de privilegios en Windows Common Log File System Driver, divulgada públicamente.
  • CVE-2022-26904: escalada de privilegios en Windows User Profile Service, explotada de manera activa.

Encuesta valoración