Llegamos a ustedes gracias a:



Reportajes y análisis

Las vulnerabilidades de SAP que los atacantes intentan explotar

[26/09/2022] Las vulnerabilidades sin parches, las configuraciones erróneas comunes y las fallas ocultas en el código personalizado continúan haciendo que las aplicaciones empresariales SAP sean un ambiente rico en objetivos para los atacantes. Esto ocurre dentro de un contexto en el que las amenazas como el ransomware y el robo de credenciales han surgido como las principales preocupaciones para las organizaciones.

Un estudio de Onapsis, realizado el año pasado en colaboración con SAP, descubrió que los atacantes atacan continuamente las vulnerabilidades en una amplia gama de aplicaciones de SAP, incluyendo los ERP, la gestión de la cadena de abastecimiento, la gestión del ciclo de vida útil del producto y la gestión de la relación con el cliente. El escaneo activo de puertos SAP ha aumentado desde el 2020 entre los atacantes que buscan explotar vulnerabilidades conocidas, particularmente un puñado de CVEs muy críticos.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

El estudio mostró que, tan solo 24 horas después de la revelación inicial, los atacantes usualmente tienen un código de prueba de concepto para vulnerabilidades recientemente reveladas, y exploits completamente funcionales para ellas en menos de tres días. Onapsis observó a los atacantes encontrar y atacar nuevos sistemas SAP alojados en la nube en apenas tres horas.

Sin embargo, muchas organizaciones continúan dejando las aplicaciones de SAP sin parches o no aplican las actualizaciones recomendadas durante meses -y a veces incluso años- debido a que les preocupa interrumpir el negocio y los daños a las aplicaciones. A principios de este año, un informe patrocinado por Pathlock, que se basó en una encuesta a 346 miembros de la comunidad de usuarios de SAPinsider, mostró que el 47% de los encuestados clasificaron la aplicación de parches como su mayor desafío después de la detección de amenazas.

"Con un total de 1.143 vulnerabilidades de SAP conocidas, las organizaciones continúan teniendo problemas para priorizar cuál de ellas presenta el mayor riesgo para su ambiente específico, afirma Piyush Pandey, director ejecutivo de Pathlock. "Debe haber un cambio de mentalidad para tener en cuenta los niveles de riesgo que permitan la mitigación inmediata de las amenazas más apremiantes, afirma Pandey.

La seguridad del código personalizado se clasificó como la siguiente mayor preocupación después de la aplicación de parches, y el 40% lo identificó como un problema. La encuesta de Pathlock encontró que muchas organizaciones tienen docenas o incluso cientos de sistemas SAP, lo que hace que la aplicación de parches sea difícil y consuma mucho tiempo, especialmente porque están tratando de evitar interrupciones y daños en las aplicaciones.

La tendencia ha dejado a muchas organizaciones expuestas a ataques que podrían provocar robo de datos, fraude financiero, daños a las aplicaciones de misión crítica, interrupciones del sistema y otras consecuencias negativas. "Los sistemas SAP son objetivos de alto valor para los hackers, ya que son el núcleo de las operaciones de negocio de misión crítica y contienen grandes cantidades de datos sensibles y confidenciales, afirma Saeed Abbasi, ingeniero de seguridad principal de Qualys. "El éxito en los ataques puede dar como resultado un impacto y una interrupción devastadores.

Estas son las vulnerabilidades más comúnmente atacadas en ambientes de aplicaciones SAP.

Vulnerabilidades de SAP sin parchar

Al igual que todos los proveedores de software, SAP publica actualizaciones periódicas para afrontar las nuevas vulnerabilidades y otros riesgos de seguridad en sus aplicaciones. En lo que va del año, SAP ha publicado 196 notas de seguridad de SAP que contienen tales actualizaciones, que ya son más que las 185 que la empresa publicó todo el año pasado. Al menos parte del aumento parece tener que ver con una cantidad de parches superior a la habitual, que SAP tuvo que emitir en enero, debido a la vulnerabilidad de Log4Shell en el marco de registro de Apache Log4j.

El estudio mostró que muchas de estas vulnerabilidades son críticas y permiten a los atacantes hacer varias cosas, como obtener acceso a la aplicación o al nivel del sistema operativo, escalar privilegios o afectar a sistemas cruzados.

"Simplemente abra cualquier base de datos de vulnerabilidades y verá más de 50 vulnerabilidades recientes de SAP con una puntuación CVSS superior a 9, afirma Ivan Mans, CTO y cofundador de SecurityBridge. En lo que va del año, ha habido 17 Notas SAP críticas con una gravedad superior a 9,8, que está cerca de la calificación máxima de 10, señala. "Lo que asumimos que era seguro el año pasado puede que ya no lo sea hoy.

Onapsis y SAP encontraron seis de las vulnerabilidades que los atacantes han estado atacando fuertemente a lo largo de los años: CVE-2020-6287; CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 y CVE-2010-5326. Todos tienen exploits disponibles públicamente, generalmente en GitHub.

JP Perez-Etchegoyen, CTO de Onapsis, clasificó dos de las vulnerabilidades de esa lista entre las tres vulnerabilidades más críticas en las aplicaciones de SAP: CVE-2020-6287 y CVE-2010-5326. Otra vulnerabilidad que considera muy crítica es una que SAP reveló este año: CVE-2022-22536.

  • CVE-2020-6287, también conocida como RECON, es una vulnerabilidad crítica en SAP NetWeaver Application Server Java que permite que un atacante remoto no autenticado tome control de las aplicaciones SAP afectadas. La amenaza que plantea la falla -que incluye permitir que el atacante cree una cuenta administrativa con los privilegios más altos- llevó a CISA a emitir un aviso recomendando "enfáticamente parches lo antes posible desde que SAP reveló por primera vez el error.
  • CVE-2010-5326 es una vulnerabilidad en la función Invoker Servlet en SAP NetWeaver Application Server, divulgada por primera vez (y parchada) en el 2010. La falla permite que actores de amenazas no autenticados ejecuten comandos a nivel de sistema operativo y tomen control de las aplicaciones y la base de datos subyacente. SAP corrigió la vulnerabilidad en el 2010, pero la actividad de explotación que apunta a la falla continúa incluso ahora porque muchos sistemas siguen sin parchar contra la amenaza.
  • CVE-2022-22536 o la falla ICMAD es una vulnerabilidad crítica de contrabando de solicitudes y concatenación de solicitudes en SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java y otros productos. Permite que un atacante remoto no autenticado se haga cargo por completo de los sistemas afectados.

De las cuatro vulnerabilidades restantes:

  • CVE-2018-2380 es una vulnerabilidad de validación insuficiente, de gravedad media, en varias versiones de SAP CRM que los atacantes están utilizando activamente para colocar shells web de SAP destinadas a inyecciones de comando del sistema operativo
  • CVE-2020-6207 es una falla relacionada con la autenticación que los atacantes están utilizando para afectar sistemas cruzados.
  • CVE-2016-9563 es una falla del 2016 que afecta un componente SAP NetWeaver AS JAVA 7.5. Es una de las vulnerabilidades que los atacantes están encadenando con la falla RECON para escalar privilegios en el sistema operativo de los servidores SAP.
  • CVE-2016-3976 es una vulnerabilidad de cruce de directorios en SAP NetWeaver AS Java 7.1 a 7.5 que los atacantes utilizan para extraer credenciales de los servidores SAP NetWeaver, entre otras cosas.

"Una buena manera de comprender las vulnerabilidades más críticas es medirlas, no solo por (la métrica del Common Vulnerability Scoring System), sino también por cuán explotadas son, afirma Perez-Etchegoyen. Para eso, recomienda que las organizaciones realicen un seguimiento del Known Exploited Vulnerabilities Catalog de CISA. Actualmente, 10 vulnerabilidades que afectan a SAP están en ese catálogo. "Todas esas 10 han sido y están siendo explotadas para comprometer las aplicaciones de SAP, añade Perez-Etchegoyen.

Errores de configuración de SAP

Las miles de formas diferentes en que se pueden configurar los ajustes de la aplicación SAP -y cambiarlos para cumplir con los nuevos requisitos- a menudo dan como resultado que las organizaciones configuren sus ambientes SAP de manera vulnerable. La diferencia entre los problemas de seguridad relacionados con un parche y una configuración es que, en la mayoría de los casos, cuando se aplica un parche, el riesgo desaparece, afirma Perez-Etchegoyen. Las configuraciones, por otro lado, siguen cambiando.

Los problemas de configuración de SAP más comunes incluyen listas de control de acceso (ACLs, por sus siglas en inglés) mal configuradas y el uso de combinaciones de nombre de usuario y contraseña débiles, predeterminadas o conocidas.

Mans de SecurityBridge también señala problemas como las tecnologías SAPRouter, SAP Web Dispatcher, Internet Communication Manager y SAP Gateway desactualizadas o mal configuradas como problemas que presentan para las organizaciones empresariales. Otros problemas relacionados con la configuración incluyen servicios expuestos públicamente a los que se puede acceder sin siquiera requerir autenticación, acceso desprotegido o insuficientemente seguro a los servicios de administración y comunicación no cifrada.

El estudio de Onapsis/SAP mostró que, aunque SAP ha brindado orientación detallada sobre cómo proteger el acceso a las cuentas con privilegios, muchas organizaciones ejecutan aplicaciones de SAP en las que las cuentas con muchos privilegios están configuradas con contraseñas predeterminadas o débiles. El estudio encontró que los atacantes utilizan con frecuencia ataques de fuerza bruta para acceder a las cuentas de SAP*, SAPCPIC, TMSADM y CTB_ADMIN.

Un conjunto de exploits denominados colectivamente como 10KBlaze, que se lanzó públicamente en el 2019, remarcó el riesgo que enfrentan las organizaciones debido a configuraciones inseguras. Los exploits tenían como objetivo configuraciones erróneas comunes en SAP Gateway y SAP Message Server, y pusieron a aproximadamente el 90% de las aplicaciones de SAP, en más de 50 mil organizaciones en todo el mundo, en riesgo total de ser comprometidas.

Vulnerabilidades en código SAP personalizado

Muchas organizaciones desarrollan, rutinariamente, un extenso código personalizado para sus aplicaciones SAP con el fin de personalizarlas o cumplir con los requisitos de cumplimiento, aparte de otras razones. "Las organizaciones a menudo personalizan SAP para satisfacer necesidades de negocio específicas, afirma Pandey de Pathlock. "Los ejemplos incluyen diseños y tablas personalizados. Este código personalizado debe revisarse regularmente en busca de fallas que puedan exponer el sistema SAP a ataques o uso indebido, agrega.

Perez-Etchegoyen identifica algunos de los más críticos que incluyen fallas de inyección en los comandos ABAP, los comandos del sistema operativo en la utilidad OSQL, ya que implican un compromiso total del sistema. "Hay muchos otros que también podrían ser objeto de abuso para causar un impacto significativo en el negocio, pero en general, las fallas de inyección tienden a generar un impacto más crítico, señala Perez-Etchegoyen.

SAP también identifica otros problemas que pueden colarse en el código personalizado y poner en riesgo las aplicaciones de SAP. Estos incluyen posibles problemas de redireccionamiento de URL, verificación de contenido faltante durante las cargas HTTP, acceso de lectura a datos confidenciales y acceso de escritura a datos confidenciales en bases de datos.

Las vulnerabilidades en el código, de código abierto y de terceros, que un equipo de desarrollo podría usar al escribir código personalizado son otro problema. Como ejemplo, Mans señala la vulnerabilidad de Log4Shell en Log4j. "Aunque no es una vulnerabilidad de SAP inmediata, las aplicaciones de SAP o las aplicaciones personalizadas que se ejecutan en SAP pueden verse afectadas y requieren una actualización, afirma Mans.

La conclusión es que las vulnerabilidades de seguridad en SAP pueden tomar muchas formas, afirma Pandey. "Ocurren del lado del proveedor, pero también existe la responsabilidad del propio cliente de asegurarse de haber configurado y personalizado la implementación para habilitar la seguridad.

Las organizaciones deben comprender que los riesgos para el ambiente de SAP pueden provenir tanto de actores externos como internos, afirma Perez-Etchegoyen. "Existen múltiples riesgos críticos en cada área y la principal diferencia entre ellos es que las vulnerabilidades en el software y las configuraciones son bien conocidas por los actores de amenazas y actualmente están siendo utilizadas para comprometer las aplicaciones de SAP por parte de actores de amenazas externos.

"Por otro lado, las vulnerabilidades en el código personalizado, si bien son extremadamente críticas y aparecen en volúmenes mucho más altos que las otras dos, suelen ser un riesgo que está más expuesto a la amenaza interna, ya que a menudo se pueden explotar con un usuario y un cierto nivel de acceso, advierte Perez-Etchegoven.

Puede ver también: