Blog

CISA y SAP advierten sobre nueva vulnerabilidad crítica CVE-2022-22536 ¡Parchear Ahora!

La empresa de software empresarial SAP y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU (CISA) han emitido este martes nuevos avisos de seguridad para advertir a los usuarios de SAP a instalar los parches de seguridad del mes de Febrero, con el fin de evitar la explotación de una importante vulnerabilidad en un componente de SAP.

La vulnerabilidad, denominada como «CVE-2022-22536» fue descubierta por la empresa de seguridad Onapsis y afecta al SAP Internet Communication Manager (ICM). El objetivo principal de este componente es proporcionar un servidor web HTTPS que funcione para todos los productos de SAP que necesiten conectarse a Internet o hablar entre sí a través de HTTP/S, lo que significa que si hay una vulnerabilidad en su código, productos enteros de SAP están expuestos a ataques las 24 horas del día.

En un informe publicado el día de ayer ayer, Onapsis dijo que la vulnerabilidad CVE-2022-22536 es uno de esos peligrosos fallos, que permite a los atacantes utilizar paquetes malformados que engañan a los servidores SAP para que expongan datos sensibles sin que el atacante necesite autenticarse.

El ataque conocido como «contrabando de peticiones HTTP», podría utilizarse para robar credenciales e información de sesión de servidores SAP no parcheados, incluso si los servidores están colocados detrás de proxys, dijo Onapsis.

«Lo que hace que estas vulnerabilidades sean especialmente críticas para los clientes de SAP es el hecho de que los problemas están presentes por defecto en el componente ICM«, explicaron los investigadores. «Una simple petición HTTP, indistinguible de cualquier otro mensaje válido y sin ningún tipo de autenticación, es suficiente para una explotación exitosa«.

Además, los investigadores de seguridad de Onapsis, en coordinación con SAP, publicaron un informe sobre amenazas que describe las vulnerabilidades críticas de SAP ICM, CVE-2022-22536, CVE-2022-22532 y CVE-2022-22533. Onapsis también proporciona una herramienta de código abierto para identificar si un sistema es vulnerable y necesita ser parcheado. La herramienta se encuentra disponible en el GitHub (https://github.com/Onapsis/onapsis_icmad_scanner).

Se recomienda a todos los SysAdmin y organizaciones que trabajen con SAP, desplegar los parches de seguridad a la brevedad posible.

CVEs:

NotaTituloPrioridadCVSS
3123396[CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher                             
Product – SAP Web Dispatcher, Versions – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
Product – SAP Content Server, Version – 7.53
Product – SAP NetWeaver and ABAP Platform, Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
Hot News10
3142773[CVE-2021-44228Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Commerce
Related CVEs – CVE-2021-45046CVE-2021-45105CVE-2021-44832
Product – SAP Commerce, Versions – 1905, 2005, 2105, 2011
Hot News10
3130920Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Data Intelligence 3 (on-premise)
Related CVEs – CVE-2021-44228CVE-2021-45046CVE-2021-45105
Product – SAP Data Intelligence, Version – 3
Hot News10
3139893[CVE-2021-44228Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Dynamic Authorization Management
Related CVEs – CVE-2021-44228CVE-2021-45046
Product – SAP Dynamic Authorization Management, Version – 9.1.0.0, 2021.03
Hot News10
3132922Update to Security Note released in December 2021:
[CVE-2021-44228Remote Code Execution vulnerability associated with Apache Log4j 2 component used in Internet of Things Edge Platform
Related CVEs –  CVE-2021-45105CVE-2021-45046 , CVE-2021-44832
Product – Internet of Things Edge Platform, Version – 4.0
Hot News10
3133772Update to Security Note released in December 2021:
[CVE-2021-44228Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Customer Checkout
Related CVEs – CVE-2021-45046CVE-2021-45105
Product – SAP Customer Checkout, Version – 2
Hot News10
3131047Update to Security Note released in December 2021:
[CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component
Hot News10
2622660Update to Security Note released on April 2018 Patch Day:
Security updates for the browser control Google Chromium delivered with SAP Business Client
Product – SAP Business Client, Version – 6.5
Hot News10
3140940[CVE-2022-22544Missing segregation of duties in SAP Solution Manager Diagnostics Root Cause Analysis Tools
Product – SAP Solution Manager (Diagnostics Root Cause Analysis Tools), Version – 720
Hot News9.1
3112928Update to Security Note released on January 2022 Patch Day:
[CVE-2022-22531] Multiple vulnerabilities in F0743 Create Single Payment application of SAP S/4HANA
Additional CVE – CVE-2022-22530Product – SAP S/4HANA, Versions – 100, 101, 102, 103, 104, 105, 106
High8.7
3123427[CVE-2022-22532HTTP Request Smuggling in SAP NetWeaver Application Server Java
Product – SAP NetWeaver Application Server Java, Versions – KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53
High8.1
3140587[CVE-2022-22540SQL Injection vulnerability in SAP NetWeaver AS ABAP (Workplace Server)
Product – SAP NetWeaver AS ABAP (Workplace Server), Versions – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 787
High7.1
3124994[CVE-2022-22534Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver
Product – SAP NetWeaver (ABAP and Java application Servers), Versions – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756
Medium4.7
3126489[CVE-2022-22535Missing Authorization check in SAP ERP HCM
Product –  SAP ERP HCM (Portugal), Versions – 600, 604, 608
Medium6.5
3126748[CVE-2022-22546XSS vulnerability in SAP Business Objects Web Intelligence (BI Launchpad)
Product – SAP Business Objects Web Intelligence (BI Launchpad) , Version – 420
Medium5.4
3134684[Multiple CVEs] Improper Input Validation in SAP 3D Visual Enterprise Viewer
CVEs – CVE-2022-22537CVE-2022-22539CVE-2022-22538
Product – SAP 3D Visual Enterprise Viewer , Version – 9.0
Medium4.3
3140564[CVE-2022-22528Information Disclosure in SAP Adaptive Server Enterprise
Product – SAP Adaptive Server Enterprise , Version – 16.0
Medium5.6
3142092[CVE-2022-22542Information Disclosure vulnerability in SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer)
Product – SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer)  , Versions – 104, 105, 106
Medium6.5
3116223[CVE-2022-22543Denial of service (DOS) in SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel)
Product –  SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel) , Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
Low3.7

Más Información

https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

https://onapsis.com/icmad-sap-cybersecurity-vulnerabilities?utm_campaign=2022-Q1-global-ICM-campaign-page&utm_medium=website&utm_source=third-party&utm_content=CISA-alert

https://www.cisa.gov/uscert/ncas/current-activity/2022/02/08/critical-vulnerabilities-affecting-sap-applications-employing

https://www.tenable.com/blog/cve-2022-22536-sap-patches-internet-communication-manager-advanced-desync-icmad

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required