Vulnerabilidad detectada hace seis a帽os a煤n afecta a usuarios de SAP; CERT-US publica alerta

A pesar que los sistemas SAP suelen ser utilizados para almacenar y gestionar informaci贸n de importancia cr铆tica para la empresa, muchos de sus clientes se desentienden de instalar actualizaciones de seguridad.

La entidad US-CERT, dependiente del Ministerio del Interior de Estados Unidos (Department of Homeland Security), public贸 el 11 de mayo lo que constituye su primera alerta de seguridad por vulnerabilidades en sistemas SAP.

La advertencia no se refiere a una nueva vulnerabilidad, propiamente tal, sino al hecho que un gran n煤mero de clientes de SAP, incluyendo grandes empresas, utilizan sistemas no actualizados o mal configurados, que de esa forma son vulnerables a un agujero de seguridad en Invoker Servlet, parcheado por SAP en 2010.

La empresa de seguridad inform谩tica Onapsis dice haber detectado en foros p煤blicos chinos informaci贸n en el sentido que la vulnerabilidad habr铆a sido explotada en, al menos, 36 empresas en el per铆odo comprendido entre 2013 y 2016. En un informe elaborado por Onapsis, la empresa indica que 鈥渟贸lo hemos visto la punta del t茅mpano鈥 y que no es posible descartar que las vulnerabilidades est茅n siendo utilizadas en ataques activos.

Las 36 empresas del caso tienen su sede, o son subsidiarias de empresas registradas en Estados Unidos, Gran Breta帽a, Alemania, China, India, Jap贸n y Corea del Sur. Las empresas operan en los 谩mbitos de hidrocarburos, telecomunicaciones, comercio, automoci贸n o producci贸n sider煤rgica, como asimismo servicios p煤blicos incluido suministro el茅ctrico.

La vulnerabilidad

La vulnerabilidad est谩 radicada en Invoker Servlet, funcionalidad de sistemas SAP NetWeaver Application Server.Aparentemente, y afecta todos los elementos ejecutados en las plataformas SAP Java, o al menos las siguientes:

鈥 SAP Enterprise Resource Planning (ERP)
鈥 SAP Product Life-cycle Management (PLM)
鈥 SAP Customer Relationship Management (CRM)
鈥 SAP Supply Chain Management (SCM)
鈥 SAP Supplier Relationship Management (SRM)
鈥 SAP Enterprise Portal (EP)
鈥 SAP Process Integration (PI)
鈥 SAP Exchange Infrastructure (XI)
鈥 SAP Solution Manager (SolMan)
鈥 SAP NetWeaver Business Warehouse (BW)
鈥 SAP Business Intelligence (BI)
鈥 SAP NetWeaver Mobile Infrastructure (MI)
鈥 SAP NetWeaver Development Infrastructure (NWDI)
鈥 SAP Central Process Scheduling (CPS)
鈥 SAP NetWeaver Composition Environment (CE)
鈥 SAP NetWeaver Enterprise Search
鈥 SAP NetWeaver Identity Management (IdM)
鈥 SAP Governance, Risk & Control 5.x (GRC)

Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP v铆a Internet. Para ello, s贸lo se requiere la direcci贸n IP del sistema SAP, y un navegador, como asimismo un c贸digo de ataque.

Los usuarios de SAP, que por una u otra raz贸n no tengan la posibilidad de instalar el parche en cuesti贸n, pueden alternativamente desactivar Invoker Servlet en el sistema. Sin embargo, Onapsis advierte que esta desactivaci贸n podr铆a ser anulada por aplicaciones Java espec铆ficas o personalizadas por la propia empresa.

3000 parches

Seg煤n Onapsis, SAP ha publicado m谩s de 3000 parches de seguridad en los seis a帽os siguientes a la vulnerabilidad parcheada en 2010. Esto equivale, en promedio, a 30 parches mensuales.

US-CERT presenta una serie de consejos a los administradores SAP que no tengan control total de la seguridad del sistema. En primer lugar, recomienda eliminar todas las vulnerabilidades conocidas, como asimismo las configuraciones err贸neas. Asimismo, sugiere identificar y analizar la configuraci贸n de seguridad entre los sistemas y aplicaciones, con el fin de mapear los riesgos que implican. Asimismo, la entidad sugiere analizar los sistemas con el fin de identificar usuarios malignos, o usuarios con demasiados derechos.


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.