Llegamos a ustedes gracias a:



Alertas de Seguridad

Los exploits públicos de SAP

Podrían permitir ataques contra miles de empresas

[03/06/2019] Los expertos en seguridad advierten que los exploits publicados recientemente y fáciles de usar para problemas de seguridad de SAP conocidos, pueden provocar una ola de ataques contra los sistemas SAP que pueden afectar a decenas de miles de empresas. Los exploits permiten a los hackers remotos comprometer completamente las aplicaciones SAP afectadas y los datos críticos de negocio que contienen.

Las propias vulnerabilidades se derivan de las configuraciones predeterminadas inseguras de SAP Gateway y SAP Message Server, dos componentes que utilizan varias aplicaciones empresariales de SAP y que son comunes en muchos entornos. Algunos de estos problemas se conocen desde hace más de una década, pero han persistido en muchos despliegues en el mundo real, según la empresa de seguridad Onapsis.

Basándose en las observaciones de las evaluaciones de seguridad realizadas para grandes organizaciones a lo largo de los años, Onapsis estima que los problemas afectan a nueve de cada diez sistemas SAP desplegados por más de 50 mil usuarios de SAP en todo el mundo, alrededor de 900 millones de sistemas en total. Más de 400 mil organizaciones de todo el mundo utilizan los productos de software de SAP, incluidas algunas de las mayores corporaciones multinacionales.

Las aplicaciones que utilizan los componentes potencialmente vulnerables y que podrían verse afectadas por estos exploits incluyen SAP S/4HANA, SAP Enterprise Resource Planning (ERP), SAP Product Lifecycle Management (PLM), SAP Customer Relationship Management (CRM), SAP Human Capital Management (HCM), SAP Supply Chain Management (SCM), SAP Supplier Relationship Management (SRM), SAP NetWeaver Business Warehouse (BW), SAP Business Intelligence (BI), SAP Process Integration (PI), SAP Solution Manager (SolMan) y SAP Governance, Risk & Compliance 10.x (GRC) y SAP NetWeaver ABAP Application Server 7.0 - 7.52.

Los exploits de SAP y su impacto

La Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) emitió una alerta el jueves en respuesta a los exploits de SAP que se publicaron a principios de este mes en GitHub. Las exploits han sido apodadas 10KBLAZE.

Según la alerta, 900 sistemas de Internet en los EE.UU. podrían ser vulnerables al problema del ACL (lista de control de acceso) del gateway SAP y 693 servidores de mensajes SAP expuestos a Internet podrían ser vulnerables a ataques de tipo "hombre en el medio". También hay 1.181 routers SAP expuestos a Internet, y si los atacantes obtienen acceso a ellos, podrían ser utilizados para proxy de peticiones maliciosas a los sistemas SAP Gateway.

Estos números no parecen altos, pero vale la pena tener en cuenta que tales sistemas podrían servir como puntos de giro para que los hackers ataquen sistemas SAP adicionales ubicados dentro de las redes corporativas. El acceso a las redes corporativas también puede realizarse de varias otras maneras, por ejemplo, mediante ataques de phishing que provocan que las estaciones de trabajo se infecten con malware. Los hackers pueden utilizar estos sistemas para atacar a otros, incluyendo a SAP.

Onapsis publicó un informe y firmas de detección que funcionan con el sistema de detección de intrusos de código abierto Snort, ya que los nuevos exploits facilitan considerablemente el lanzamiento de ataques. Por lo tanto, la amenaza contra los sistemas SAP ya no proviene de los grupos de ciberespionaje de los estados de la nación o de criminales cibernéticos altamente sofisticados, sino prácticamente de cualquiera que pueda utilizar un motor de búsqueda como Shodan.

"En las manos equivocadas, estos exploits pueden causar mucho daño", señaló Mariano Núñez, CEO de Onapsis. "Cualquiera puede descargar uno de estos exploits, apuntar a la dirección IP de un sistema SAP y, con un solo comando, borrar por completo el sistema e interrumpir cualquier proceso de negocio. Creo que reduce drásticamente el nivel de riesgo de quién podría atacar las aplicaciones SAP y, por lo tanto, aumenta el riesgo, ya que aumenta la probabilidad de que esto ocurra. Creemos que vamos a ver un aumento en los ataques que aprovechan estos exploits y vulnerabilidades".

Esos ataques podrían tomar muchas formas, desde hacktivistas que intentan dañar a las empresas que no les gustan interrumpiendo sus operaciones comerciales y causando pérdidas financieras significativas, a los ataques de tipo rescate -como los que afectan a los servidores web y las bases de datos, en los que los atacantes eliminan datos y dejan atrás las notas de rescate. Por supuesto, también son posibles ataques más sofisticados y bien planificados que implican el robo de registros comerciales confidenciales e incluso la modificación maliciosa de datos.

Los retos para los usuarios de SAP

Una de las razones por las que muchas organizaciones siguen siendo vulnerables a estos conocidos problemas después de tantos años es la complejidad de sus entornos SAP. Las empresas personalizan en gran medida sus sistemas SAP y Núñez estima que cada implementación de SAP tiene un promedio de dos millones de líneas de código personalizado añadidas por sus usuarios.

Estos sistemas ejecutan procesos críticos para el negocio, por lo que, si un parche de seguridad causa incompatibilidades con esas personalizaciones y causa tiempo de inactividad en el negocio, la organización podría perder grandes cantidades de dinero.

Mitigar estos problemas requiere cambiar dos escenarios, pero mientras que un cambio es relativamente fácil de hacer, el otro podría ser un proyecto de un año de duración para una implementación de SAP mediana a grande y requeriría recursos significativos, señala Núñez. "Pero lo que está en juego es demasiado alto. ¿Verdad? Así que, si no lo hace, está claro lo que podría salir mal".

La conocida vulnerabilidad de configuración de SAP persiste, incluso en instancias de nube

Sin embargo, Onapsis encuentra regularmente estos problemas de configuración incluso en las nuevas implementaciones de SAP en la nube que no tienen la carga de la complejidad de los datos como las implementaciones locales más antiguas. Esto sugiere que el problema es más profundo y que muchas compañías no están haciendo estas implementaciones con la seguridad en mente. Además, dado que estos sistemas se despliegan en nubes públicas, el riesgo de que se expongan a Internet es aún mayor.

"Creo que esto también tiene que ver con la forma en que la industria se está acercando a la seguridad de las aplicaciones SAP", añade Núñez. "Hay mucho enfoque en los controles de tipo segregación de funciones, básicamente quién puede hacer qué una vez que tiene acceso al sistema, pero en realidad no están poniendo mucho énfasis en asegurarse de que los ajustes técnicos del sistema sean seguros".

"Creo que lo que no entienden es que hay entornos técnicos que pueden tener implicaciones empresariales y financieras inmediatas y devastadoras", indicó Núñez. "Por eso denominamos a estos exploits 10KBLAZE, porque con este nivel de acceso, un atacante puede realizar actividades que podrían dar lugar a errores materiales en los archivos financieros".

Configurar los controles de acceso y las funciones en las aplicaciones SAP para evitar que los empleados tengan acceso a más datos de los que deberían, es una forma de que las organizaciones se protejan contra las amenazas internas, lo que es importante para su situación de seguridad. Sin embargo, si la configuración técnica de todo el sistema se deja en un estado inseguro, tanto los empleados deshonestos como los hackers maliciosos podrían fácilmente pasar por alto todos esos controles de acceso a los datos y obtener un acceso completo y sin restricciones a todo el sistema.

"En la mayoría de los entornos que vemos, SAP no está correctamente segmentado en la red interna, por lo que cualquier persona conectada a la red local o a través de una VPN, como un contratista, puede utilizar una vulnerabilidad como esta para tomar el control total del sistema", indica Núñez.

Falta de herramientas de monitoreo

Otro problema es la falta de herramientas de monitorización configuradas para detectar ataques y exploits contra los sistemas SAP. Esto significa que, en muchos casos, si se produce un ataque y no hay una interrupción obvia del sistema o una modificación de los datos, podría quedar sin descubrir.

Según Núñez, este aspecto hace muy difícil estimar cuánta explotación activa de estos problemas de configuración insegura de SAP ha ocurrido en la naturaleza a lo largo de los años. Pero los sistemas SAP están definitivamente en el radar de los atacantes.

El año pasado Onapsis publicó un informe junto con otra empresa llamada Digital Shadows, sobre el aumento de la actividad de los hackers en aplicaciones ERP. Ese informe cubría las campañas de ataque lanzadas por grupos hacktivistas contra las aplicaciones ERP de SAP y Oracle, los ataques contra las aplicaciones ERP por parte de actores nacionales y las discusiones sobre la piratería de SAP y los exploits de ERP en los foros de ciberdelincuentes.

¿Qué deben hacer las organizaciones que utilizan SAP?

"Como CIO o CEO de una empresa, reunía a mi proveedor de servicios de SAP y al proveedor de ciberseguridad en una habitación, y les pedía que averiguaran, en primer lugar, qué sistemas están expuestos a estos ataques y, a continuación, desencadenaría dos flujos de trabajo", comenta Núñez. Una sería añadir capacidades de supervisión para detectar cualquier intento de explotación y la otra sería iniciar el proceso de remediación de inmediato.

Las empresas deben evaluar la exposición de sus entornos SAP a estas amenazas, comenzando con los sistemas expuestos a Internet, luego deben desplegar capacidades de supervisión e iniciar el proceso de reparación tan pronto como sea posible. SAP ofrece orientación para solucionar estos problemas en las Notas de seguridad n.º 821875, n.º 1408081 y n.º 1421005 de su portal de clientes, y el informe de Onapsis contiene pasos detallados sobre cómo comprobar si los sistemas son vulnerables.

"El monitoreo continuo puede proporcionarle cierto nivel de controles compensatorios mientras mitiga el riesgo, pero en última instancia la única solución es realizar esas configuraciones de seguridad y mantenerlas seguras", indica Núñez. "Llevará meses o años, no importa por dónde empieces, pero ahora que los exploits son públicos, cuanto más espere, más riesgo y exposición asume".