Martes, 25 February 2020 09:03

Vulnerabilidades en SAP

El CERT de Entelgy Innotec Security avisa de la publicación de vulnerabilidades en SAP.

Nivel de Criticidad: ALTO

El boletín de seguridad publicado por SAP correspondiente al mes de febrero de 2020, corrige trece vulnerabilidades; dos de ellas de criticidad alta y once con puntuación por debajo de 7.0 (según la escala CVSSv2 de la base de datos del NIST), además de dos actualizaciones de Notas de Seguridad publicadas en Patch Days anteriores. A continuación, se describen las vulnerabilidades que han recibido una criticidad alta.

CVE-2020-6191 y CVE-2020-6192. Vulnerabilidades encontradas en SAP Landscape Management, plataforma de gestión para la automatización de tareas de administrativas. El fallo reside en algunas partes y funciones desconocidas del componente Host Agent. La manipulación con una entrada desconocida puede generar que un atacante realice una escalada de privilegios.

Las vulnerabilidades CVE-2020-6191 y CVE-2020-6192 han recibido una puntuación de 9.0 según la escala CVSSv2 de la base de datos del NIST. Esto es debido a que el fallo es explotable de forma remota, con una complejidad baja y un ataque exitoso supondría un impacto completo. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar estas vulnerabilidades ni actividad en la red relacionada.

Recursos afectados

Ambas vulnerabilidades CVE-2020-6191 y CVE-2020-6192 afectan a:

  • SAP LANDSCAPE MANAGEMENT 3.0

 

Solución a la vulnerabilidad

Para solucionar la vulnerabilidad, SAP recomienda encarecidamente que el cliente visite el Portal de soporte y aplique los parches disponibles para proteger su entorno SAP. Se requiere de acceso con credenciales de usuario para acceder a dichos parches.

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas.

Referencias

 SAP Security Patch Day - February 2020

Visto 196 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa