La empresa de software empresarial SAP y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU (CISA) han emitido este martes nuevos avisos de seguridad para advertir a los usuarios de SAP a instalar los parches de seguridad del mes de Febrero, con el fin de evitar la explotación de una importante vulnerabilidad en un componente de SAP.
La vulnerabilidad, denominada como «CVE-2022-22536» fue descubierta por la empresa de seguridad Onapsis y afecta al SAP Internet Communication Manager (ICM). El objetivo principal de este componente es proporcionar un servidor web HTTPS que funcione para todos los productos de SAP que necesiten conectarse a Internet o hablar entre sí a través de HTTP/S, lo que significa que si hay una vulnerabilidad en su código, productos enteros de SAP están expuestos a ataques las 24 horas del día.
En un informe publicado el día de ayer ayer, Onapsis dijo que la vulnerabilidad CVE-2022-22536 es uno de esos peligrosos fallos, que permite a los atacantes utilizar paquetes malformados que engañan a los servidores SAP para que expongan datos sensibles sin que el atacante necesite autenticarse.
El ataque conocido como «contrabando de peticiones HTTP», podría utilizarse para robar credenciales e información de sesión de servidores SAP no parcheados, incluso si los servidores están colocados detrás de proxys, dijo Onapsis.
«Lo que hace que estas vulnerabilidades sean especialmente críticas para los clientes de SAP es el hecho de que los problemas están presentes por defecto en el componente ICM«, explicaron los investigadores. «Una simple petición HTTP, indistinguible de cualquier otro mensaje válido y sin ningún tipo de autenticación, es suficiente para una explotación exitosa«.
Además, los investigadores de seguridad de Onapsis, en coordinación con SAP, publicaron un informe sobre amenazas que describe las vulnerabilidades críticas de SAP ICM, CVE-2022-22536, CVE-2022-22532 y CVE-2022-22533. Onapsis también proporciona una herramienta de código abierto para identificar si un sistema es vulnerable y necesita ser parcheado. La herramienta se encuentra disponible en el GitHub (https://github.com/Onapsis/onapsis_icmad_scanner).
Se recomienda a todos los SysAdmin y organizaciones que trabajen con SAP, desplegar los parches de seguridad a la brevedad posible.
CVEs:
Nota | Titulo | Prioridad | CVSS |
3123396 | [CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher Product – SAP Web Dispatcher, Versions – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87 Product – SAP Content Server, Version – 7.53 Product – SAP NetWeaver and ABAP Platform, Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49 | Hot News | 10 |
3142773 | [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Commerce Related CVEs – CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 Product – SAP Commerce, Versions – 1905, 2005, 2105, 2011 | Hot News | 10 |
3130920 | Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Data Intelligence 3 (on-premise) Related CVEs – CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 Product – SAP Data Intelligence, Version – 3 | Hot News | 10 |
3139893 | [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Dynamic Authorization Management Related CVEs – CVE-2021-44228, CVE-2021-45046 Product – SAP Dynamic Authorization Management, Version – 9.1.0.0, 2021.03 | Hot News | 10 |
3132922 | Update to Security Note released in December 2021: [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in Internet of Things Edge Platform Related CVEs – CVE-2021-45105, CVE-2021-45046 , CVE-2021-44832 Product – Internet of Things Edge Platform, Version – 4.0 | Hot News | 10 |
3133772 | Update to Security Note released in December 2021: [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Customer Checkout Related CVEs – CVE-2021-45046, CVE-2021-45105 Product – SAP Customer Checkout, Version – 2 | Hot News | 10 |
3131047 | Update to Security Note released in December 2021: [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component | Hot News | 10 |
2622660 | Update to Security Note released on April 2018 Patch Day: Security updates for the browser control Google Chromium delivered with SAP Business Client Product – SAP Business Client, Version – 6.5 | Hot News | 10 |
3140940 | [CVE-2022-22544] Missing segregation of duties in SAP Solution Manager Diagnostics Root Cause Analysis Tools Product – SAP Solution Manager (Diagnostics Root Cause Analysis Tools), Version – 720 | Hot News | 9.1 |
3112928 | Update to Security Note released on January 2022 Patch Day: [CVE-2022-22531] Multiple vulnerabilities in F0743 Create Single Payment application of SAP S/4HANA Additional CVE – CVE-2022-22530Product – SAP S/4HANA, Versions – 100, 101, 102, 103, 104, 105, 106 | High | 8.7 |
3123427 | [CVE-2022-22532] HTTP Request Smuggling in SAP NetWeaver Application Server Java Product – SAP NetWeaver Application Server Java, Versions – KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53 | High | 8.1 |
3140587 | [CVE-2022-22540] SQL Injection vulnerability in SAP NetWeaver AS ABAP (Workplace Server) Product – SAP NetWeaver AS ABAP (Workplace Server), Versions – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 787 | High | 7.1 |
3124994 | [CVE-2022-22534] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Product – SAP NetWeaver (ABAP and Java application Servers), Versions – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 | Medium | 4.7 |
3126489 | [CVE-2022-22535] Missing Authorization check in SAP ERP HCM Product – SAP ERP HCM (Portugal), Versions – 600, 604, 608 | Medium | 6.5 |
3126748 | [CVE-2022-22546] XSS vulnerability in SAP Business Objects Web Intelligence (BI Launchpad) Product – SAP Business Objects Web Intelligence (BI Launchpad) , Version – 420 | Medium | 5.4 |
3134684 | [Multiple CVEs] Improper Input Validation in SAP 3D Visual Enterprise Viewer CVEs – CVE-2022-22537, CVE-2022-22539, CVE-2022-22538 Product – SAP 3D Visual Enterprise Viewer , Version – 9.0 | Medium | 4.3 |
3140564 | [CVE-2022-22528] Information Disclosure in SAP Adaptive Server Enterprise Product – SAP Adaptive Server Enterprise , Version – 16.0 | Medium | 5.6 |
3142092 | [CVE-2022-22542] Information Disclosure vulnerability in SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) Product – SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) , Versions – 104, 105, 106 | Medium | 6.5 |
3116223 | [CVE-2022-22543] Denial of service (DOS) in SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel) Product – SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel) , Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49 | Low | 3.7 |
Más Información
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.