Aviso de seguridad para vulnerabilidades críticas de SAP ICMAD

March 16, 2022

Las agencias internacionales de inteligencia de amenazas, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Equipo de Respuesta a Emergencias Informáticas para la UE (CERT-EU), emitieron avisos de seguridad la semana pasada sobre vulnerabilidades críticas en SAP Internet Communication Manager (ICM). El ICM admite la comunicación entrante y saliente con los sistemas SAP mediante el protocolo HTTP(S). Es un componente estándar de NetWeaver Application Server ABAP y Java y SAP Web Dispatcher.

Los avisos se relacionan con CVE-2022-22536, CVE-2022-22532 y CVE-2022-22533, etiquetados como ICMAD (Internet Communication Manager Advanced Desync). La más crítica es CVE-2022-22536: una vulnerabilidad de corrupción de memoria que se puede explotar a través de una sola solicitud HTTP para comprometer completamente los sistemas SAP, de forma remota y sin autenticación.

Esto afecta a AS ABAP y Web Dispatcher cuando se accede a ellos a través de una puerta de enlace HTTP. Para AS ABAP, la puerta de enlace podría ser Web Dispatcher. La vulnerabilidad no afecta el acceso directo a los servidores de aplicaciones de SAP. CVE-2022-22532 afecta solo a AS Java.

Esta vulnerabilidad tiene un CVSS más bajo que CVE-2022-22536 debido a una mayor complejidad del ataque, pero ocupa un lugar destacado en términos de impacto en la confidencialidad, la integridad y la disponibilidad.

Hay evidencia de escaneo activo para ICMAD. Los sistemas SAP expuestos a Internet son especialmente vulnerables. Los despachadores web externos son igualmente vulnerables. En consecuencia, es fundamental aplicar las notas de seguridad pertinentes para parchear los sistemas SAP contra ICMAD.

Nota 3123396 parches AS ABAP y Web Dispatcher para CVE-2022-22536. Los Kernels y Web Dispatchers de SAP deben actualizarse a los niveles mínimos de parches que se detallan en la nota. La solución detallada en la nota 3137885 se puede aplicar como medida provisional si los parches no se pueden implementar con poca antelación. Para acceder a través de Web Dispatcher, consulte 3137885 para asegurarse de que las instalaciones de Web Dispatcher cumplan con el nivel de parche mínimo. Para aplicar la solución alternativa, el parámetro de perfil wdisp/additional_conn_close debe establecerse en TRUE. Para obtener más detalles, consulte la nota 3138881 .

Nota 3123427 parches AS Java para CVE-2022-22532 y CVE-2022-22533. La solución alternativa recomendada en la nota se puede aplicar mediante la configuración del parámetro icm/handle_http_pipeline_requests=FALSE si no se requiere soporte para solicitudes de canalización HTTP.

Cybersecurity Extension para SAP descubre instalaciones vulnerables de ABAP, Java y Web Dispatcher que no se han parcheado correctamente para ICMAD. También identifica soluciones provisionales faltantes o aplicadas incorrectamente si no se han aplicado las correcciones en las notas 3123396 y 3123427. La solución certificada por SAP realiza más de 1800 verificaciones de vulnerabilidades conocidas en aplicaciones y componentes de SAP y bases de datos y sistemas operativos compatibles.

Para más información sobre este y otros temas
puedes enviarnos un mensaje

contáctanos