En su mayoría, las implementaciones de SAP continúan siendo afectadas por una vulnerabilidad en la configuración de seguridad inicialmente documentada en 2005, advierten expertos en seguridad informática.
Analistas comentan que las configuraciones de seguridad descuidadas y las derivaciones involuntarias de configuraciones de sistemas previamente protegidos hacen que las implementaciones de SAP sean vulnerables a pesar del lanzamiento de Notas de seguridad diseñadas para abordar los problemas. Según investigadores de seguridad informática de Onapsis, el 90% sistemas SAP se encontraron vulnerables a este error.
Esta vulnerabilidad afecta a SAP Netweaver y puede ser explotado por un atacante remoto no autenticado que tenga acceso a la red del sistema. Al atacar esta vulnerabilidad, se podría obtener acceso irrestricto al sistema, pudiendo comprometer la plataforma y toda la información que contiene, extraer datos o apagar el sistema.
La vulnerabilidad afecta a todas las versiones de SAP Netweaver. Dado que SAP Netweaver es la base de las implementaciones de SAP, 378,000 clientes en todo el mundo se ven afectados, dicen los investigadores. La vulnerabilidad existe dentro de la configuración de seguridad predeterminada en cada producto SAP basado en Netweaver. Incluso la suite de negocios digitales de próxima generación S / 4HANA se ve afectada.
Los expertos en seguridad informática de Onapsis, explican en un reporte donde se detalla la vulnerabilidad, que un esquema de protección a través de ACL (lista de control de acceso) asegura que los servidores de aplicaciones SAP estén registrados dentro del SAP Message Server para funcionar. Este registro se realiza utilizando el puerto interno 39 <xx> (3900 de forma predeterminada), SAP explicó en una Nota de seguridad que el puerto debe estar seguro y solo accesible por las direcciones IP de la aplicación de confianza.
La ACL del servidor de mensajes, está diseñada para verificar “qué direcciones IP pueden registrar un servidor de aplicaciones y cuáles no”, está controlada por un parámetro de perfil (ms / acl_info) que debe contener una ruta a un archivo con un formato específico. SAP publicó los detalles sobre cómo configurar correctamente este archivo de acceso en una Nota de seguridad.
“No obstante, este parámetro se configura con la configuración predeterminada, así como con los contenidos de la ACL abiertos, esto permite que cualquier host con acceso a la red al servidor SAP Message Server registre un servidor de aplicaciones en el sistema SAP”, explican expertos en seguridad informática de Onapsis.
Al momento de explotar la falta de una configuración segura de la ACL del servidor de mensajes en un sistema SAP, un atacante puede registrar un falso servidor de aplicaciones, que luego podría ser objeto de abuso para lograr un compromiso total del sistema a través de ataques más complejos.
Profesionales comentan que, para que un ataque sea exitoso, un actor necesita aprovechar esta configuración incorrecta: acceso al puerto interno del Servidor de mensajes con una configuración predeterminada en la ACL. Esto nos dice que la configuración adecuada de ACL de SAP Message Server debería mitigar los riesgos asociados con el ataque.
JP Perez-Etchegoyen, CTO de Onapsis, comento que “Este año se destinará la atención a nuevas vulnerabilidades, como IoT, Meltdown y Spectre, hay una amenaza más silenciosa al acecho que puede ser tan grave y tan amplia. Los entornos de SAP están tan interconectados y son complejos que desconectar un sistema para implementar una configuración segura puede ser muy perturbador para la organización. Es fundamental que las organizaciones se aseguren de que se tomen el tiempo de implementar la configuración. Estas actualizaciones deben planificarse y programarse para tener el menor impacto en la organización”.
Los investigadores de seguridad informática recomiendan a las organizaciones que implementen controles continuos y verificaciones de cumplimiento para poder garantizar que las configuraciones relevantes no afecten la postura de seguridad del sistema, así como para ejecutar un programa de seguridad de SAP que ayude a cerrar la brecha entre los dispositivos.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
