La entidad US-CERT, dependiente del Ministerio del Interior de Estados Unidos (Department of Homeland Security), publicó el 11 de mayo lo que constituye su primera alerta de seguridad por vulnerabilidades en sistemas SAP.
La advertencia no se refiere a una nueva vulnerabilidad, propiamente tal, sino al hecho que un gran número de clientes de SAP, incluyendo grandes empresas, utilizan sistemas no actualizados o mal configurados, que de esa forma son vulnerables a un agujero de seguridad en Invoker Servlet, parcheado por SAP en 2010.
La empresa de seguridad informática Onapsis dice haber detectado en foros públicos chinos información en el sentido que la vulnerabilidad habría sido explotada en, al menos, 36 empresas en el período comprendido entre 2013 y 2016. En un informe elaborado por Onapsis, la empresa indica que “sólo hemos visto la punta del témpano” y que no es posible descartar que las vulnerabilidades estén siendo utilizadas en ataques activos.
Las 36 empresas del caso tienen su sede, o son subsidiarias de empresas registradas en Estados Unidos, Gran Bretaña, Alemania, China, India, Japón y Corea del Sur. Las empresas operan en los ámbitos de hidrocarburos, telecomunicaciones, comercio, automoción o producción siderúrgica, como asimismo servicios públicos incluido suministro eléctrico.
La vulnerabilidad
La vulnerabilidad está radicada en Invoker Servlet, funcionalidad de sistemas SAP NetWeaver Application Server.Aparentemente, y afecta todos los elementos ejecutados en las plataformas SAP Java, o al menos las siguientes:
• SAP Enterprise Resource Planning (ERP)
• SAP Product Life-cycle Management (PLM)
• SAP Customer Relationship Management (CRM)
• SAP Supply Chain Management (SCM)
• SAP Supplier Relationship Management (SRM)
• SAP Enterprise Portal (EP)
• SAP Process Integration (PI)
• SAP Exchange Infrastructure (XI)
• SAP Solution Manager (SolMan)
• SAP NetWeaver Business Warehouse (BW)
• SAP Business Intelligence (BI)
• SAP NetWeaver Mobile Infrastructure (MI)
• SAP NetWeaver Development Infrastructure (NWDI)
• SAP Central Process Scheduling (CPS)
• SAP NetWeaver Composition Environment (CE)
• SAP NetWeaver Enterprise Search
• SAP NetWeaver Identity Management (IdM)
• SAP Governance, Risk & Control 5.x (GRC)
Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.
Los usuarios de SAP, que por una u otra razón no tengan la posibilidad de instalar el parche en cuestión, pueden alternativamente desactivar Invoker Servlet en el sistema. Sin embargo, Onapsis advierte que esta desactivación podría ser anulada por aplicaciones Java específicas o personalizadas por la propia empresa.
3000 parches
Según Onapsis, SAP ha publicado más de 3000 parches de seguridad en los seis años siguientes a la vulnerabilidad parcheada en 2010. Esto equivale, en promedio, a 30 parches mensuales.
US-CERT presenta una serie de consejos a los administradores SAP que no tengan control total de la seguridad del sistema. En primer lugar, recomienda eliminar todas las vulnerabilidades conocidas, como asimismo las configuraciones erróneas. Asimismo, sugiere identificar y analizar la configuración de seguridad entre los sistemas y aplicaciones, con el fin de mapear los riesgos que implican. Asimismo, la entidad sugiere analizar los sistemas con el fin de identificar usuarios malignos, o usuarios con demasiados derechos.
