Un reciente reporte de SecurityBridge, firma de seguridad para implementaciones SAP, señala la identificación de una vulnerabilidad crítica en SAP NetWeaver AS ABAP y ABAP Platform cuya explotación permitiría a los actores de amenazas configurar ataques de cadena de suministro.
La falla fue identificada como CVE-2021-38178 y recibió un puntaje de 9.1/10 según el Common Vulnerability Scoring System (CVSS) y fue abordada en la última actualización de SAP.
Esta falla fue descrita como un error de autorización inadecuada, que permitiría a los actores de amenazas alterar las solicitudes de transporte, evadiendo los mecanismos de control de calidad y transfiriendo fragmentos de código a los sistemas de producción afectados.
Los sistemas de producción suelen estar al final de la línea en las instancias de SAP para el desarrollo, la integración y las pruebas, y todas las instancias suelen compartir un directorio de transporte central, donde se almacenan los archivos necesarios para implementar los cambios desde el desarrollo hasta las etapas finales de producción.
Según el reporte, las solicitudes de transporte se utilizan para implementar modificaciones en toda la línea del sistema SAP, y en condiciones normales no pueden ser modificadas; no obstante, una investigación reveló que las implementaciones estándar de SAP incluyen un programa que permite a los empleados con privilegios específicos cambiar los atributos de encabezado de las solicitudes de transporte de SAP.
Una solicitud de transporte puede ser manipulada después de que haya pasado todas las puertas de calidad, lo que los actores de amenazas podrían aprovechar para agregar una carga útil para que se ejecute después de la importación en un sistema de destino, abriendo la posibilidad de un ataque de cadena de suministro.
Todos los entornos de SAP en los que se utiliza un solo directorio de transporte en varios niveles de preparación son vulnerables a este ataque, por lo que la compañía recomienda a las organizaciones expuestas la instalación de los parches de actualización disponibles, además de implementar verificaciones para la detección de cualquier manipulación de solicitudes de transporte antes de importarlas a producción.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
