fbpx
Top
Vulnerabilidad de SAP

Falla crítica permite a los piratas explotar vulnerabilidad de SAP

Un fallo de Java en el servidor de aplicaciones  determinó vulnerabilidad de SAP NetWeaver y facilitar el abordaje no autorizado del sistema.

Ante una vulnerabilidad de SAP, los usuarios deben implementar de inmediato un parche ante una vulnerabilidad que podría permitir a los piratas informáticos acceder a sus sistemas y datos. La falla está en un componente central que existe de manera predeterminada en la mayoría de las implementaciones de SAP y puede explotarse de forma remota sin la necesidad de un nombre de usuario y de contraseña.

Los investigadores de la firma de seguridad Onapsis, que encontraron e informaron de la vulnerabilidad de SAP, estiman que unos 40.000 de sus clientes en todo el mundo podrían verse afectados. Más de 2.500 sistemas SAP vulnerables están expuestos directamente a Internet y corren un mayor riesgo de ser pirateados, pero los atacantes que obtienen acceso a las redes locales pueden comprometer otras implementaciones.

¿Cuál es el impacto del fallo de seguridad?

La vulnerabilidad se rastrea como CVE-2020-6287 y se encuentra en el servidor de aplicaciones SAP NetWeaver Java, que es la pila de software subyacente a la mayoría de las aplicaciones empresariales de SAP. Las versiones 7.30 a 7.50 de NetWeaver Java se ven afectadas, incluida la última, y ​​todos los paquetes de soporte (SP) lanzados por SAP.

La vulnerabilidad, que también se ha denominado RECON (Código explícitamente explotable en NetWeaver), tiene la calificación de gravedad más alta posible (10) en el Sistema de puntuación de vulnerabilidad común (CVSS) porque puede explotarse a través de HTTP sin autenticación y puede conducir a un completo compromiso del sistema. La falla permite a los atacantes crear un nuevo usuario con función administrativa, evitando los controles de acceso existentes y la segregación de funciones.

“Tener acceso administrativo al sistema permitirá al atacante administrar (leer / modificar / eliminar) todos los registros o archivos de la base de datos en el sistema”, advirtió Onapsis en un aviso. “Debido al tipo de acceso sin restricciones que un atacante obtendría al explotar sistemas sin parches, esta vulnerabilidad también puede constituir una deficiencia en los controles de TI de una empresa para los mandatos regulatorios, lo que podría afectar el cumplimiento financiero (Sarbanes-Oxley) y la privacidad (GDPR)”.

La vulnerabilidad abre organizaciones a varios tipos de ataques. Los hackers podrían usarlo para robar información de identificación personal (PII) perteneciente a empleados, clientes y proveedores; leer, modificar o eliminar registros financieros; cambiar detalles bancarios para desviar pagos y modificar procesos de compra; datos corruptos; o interrumpir la operación de las pérdidas financieras del sistema debido al tiempo de inactividad del negocio. La falla también permite a los atacantes ocultar sus pistas al eliminar registros y ejecutar comandos en el sistema operativo con los privilegios de la aplicación SAP.

Las aplicaciones SAP afectadas incluyen SAP S/4HANA Java, SAP Enterprise Resource Planning (ERP), SAP Supply Chain Management (SCM), SAP CRM (Java Stack), SAP Enterprise Portal, SAP HR Portal, SAP Solution Manager (SolMan) 7.2, SAP Landscape Management (SAP LaMa), SAP Process Integration/Orchestration (SAP PI/PO), SAP Supplier Relationship.

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.