Llegamos a ustedes gracias a:



Alertas de Seguridad

Una falla crítica en SAP

Podría afectar a 40 mil clientes

[16/07/2020] Los usuarios de SAP deberían desplegar inmediatamente un parche recién publicado para una vulnerabilidad crítica que podría permitir a los hackers comprometer sus sistemas y los datos que contienen. La falla está en un componente central que existe por defecto en la mayoría de las implementaciones de SAP y que puede ser explotado remotamente sin necesidad de un nombre de usuario y una contraseña.

Los investigadores de la empresa de seguridad Onapsis, que encontraron y reportaron la vulnerabilidad, estiman que 40 mil clientes de SAP en todo el mundo podrían verse afectados. Más de 2.500 sistemas SAP vulnerables están expuestos directamente a Internet y corren un mayor riesgo de ser pirateados, pero los atacantes que acceden a las redes locales pueden comprometer otras implementaciones.

¿Cuál es el impacto de la vulnerabilidad de SAP?

La vulnerabilidad identificada como CVE-2020-6287 se encuentra en el servidor de aplicaciones SAP NetWeaver Application Server Java, que es la pila de software subyacente a la mayoría de las aplicaciones empresariales de SAP. Las versiones 7.30 a 7.50 de NetWeaver Java están afectadas -incluyendo la última- y todos los Paquetes de Soporte (SPs) lanzados por SAP.

La vulnerabilidad, que también ha sido denominada RECON (Remotely Exploitable Code on NetWeaver), tiene el mayor índice de gravedad posible (10) en el Sistema de Puntuación de Vulnerabilidad Común (CVSS) porque puede ser explotada a través de HTTP sin autenticación, y puede llevar a un compromiso total del sistema. La falla permite a los atacantes crear un nuevo usuario con función administrativa, pasando por alto los controles de acceso existentes y la segregación de funciones.

"Tener acceso administrativo al sistema permitirá al atacante gestionar (leer/modificar/eliminar) todos los registros o archivos de la base de datos del sistema", advirtió Onapsis en un aviso. "Debido al tipo de acceso sin restricciones que un atacante obtendría al explotar sistemas sin parches, esta vulnerabilidad también puede constituir una deficiencia en los controles de TI de una empresa para los mandatos reglamentarios, lo que podría afectar al cumplimiento de las normas financieras (Sarbanes-Oxley) y de privacidad (GDPR)".

La vulnerabilidad abre a las organizaciones a diversos tipos de ataques. Los piratas informáticos podrían utilizarla para robar información de identificación personal (PII) perteneciente a empleados, clientes y proveedores; leer, modificar o eliminar registros financieros; cambiar detalles bancarios para desviar pagos y modificar procesos de compra; corromper datos; o perturbar el funcionamiento de los sistemas pérdidas financieras debidas al tiempo de inactividad de la empresa. La falla también permite a los atacantes ocultar sus huellas borrando los registros y ejecutando comandos en el sistema operativo con los privilegios de la aplicación SAP.

Las aplicaciones SAP afectadas incluyen SAP S/4HANA Java, SAP Enterprise Resource Planning (ERP), SAP Supply Chain Management (SCM), SAP CRM (Java Stack), SAP Enterprise Portal, SAP HR Portal, SAP Solution Manager (SolMan) 7.2, SAP Landscape Management (SAP LaMa), SAP Process Integration/Orchestration (SAP PI/PO), SAP Supplier Relationship Management (SRM), SAP NetWeaver Mobile Infrastructure (MI), SAP NetWeaver Development Infrastructure (NWDI) y SAP NetWeaver Composition Environment (CE).

Sin embargo, los sistemas SAP suelen estar interconectados con otros sistemas de terceros para intercambiar datos y automatizar tareas mediante API. La integración/orquestación de procesos de SAP (SAP PI/PO) desempeña un papel central en esas integraciones, y su compromiso podría dar a los atacantes acceso a credenciales para otros sistemas y bases de datos que no sean de SAP.

El SAP Enterprise Portal también es un objetivo interesante porque a menudo está expuesto a Internet en forma de portales de autoservicio para empleados o en escenarios B2B para proveedores y socios comerciales, por lo que alberga una cantidad significativa de datos empresariales, señaló el CEO de Onapsis, Mariano Núñez, al CSO.

El SAP Solution Manager, que se basa en NetWeaver Java y está afectado, es también un componente obligatorio para todas las implementaciones de SAP y puede ser un objetivo interesante para los atacantes desde donde pueden moverse lateralmente a otras aplicaciones.

Mitigaciones de RECON

Onapsis notificó a SAP de la vulnerabilidad en mayo y la empresa se apresuró a desarrollar un parche debido a la gravedad del problema y a la facilidad de explotación. La Agencia de Seguridad Cibernética y de Infraestructura de los Estados Unidos (CISA) y el Equipo de Respuesta a Emergencias Informáticas del gobierno alemán (CERT-Bund) también han sido notificados y han preparado avisos.

Según Núñez, aplicar el parche lo antes posible es la mejor solución. Detectar un posible ataque con firewalls de aplicaciones web sin tener un contexto de aplicación podría dar lugar a muchos falsos positivos, porque es difícil diferenciar entre los intentos de explotación y el tráfico legítimo.

"CISA recomienda encarecidamente a las organizaciones que lean la publicación SAP July 2020 Security Notes para obtener más información y que apliquen los parches críticos lo antes posible -prioricen la aplicación de parches comenzando por los sistemas de misión crítica, los sistemas de cara a Internet y los servidores de red", señaló CISA en su aviso. "Las organizaciones deberían entonces priorizar la aplicación de parches a otros activos de IT/OT afectados. Se debe prestar especial atención a la Nota de Seguridad SAP 2934135".

Núñez anotó que no será difícil para los atacantes hacer ingeniería inversa del parche y averiguar dónde existe la vulnerabilidad y cómo explotarla. No espere que pase mucho tiempo hasta que la falla se convierta en un arma, por lo que es fundamental que las organizaciones entiendan el amplio impacto que esta vulnerabilidad podría tener en su negocio si no se aplica el parche.