En ocasiones la instalación de actualizaciones de seguridad no es llevada a cabo de forma adecuada, generando nuevos errores o la explotación de vulnerabilidades, mencionan especialistas en seguridad web. Hace algunas semanas, SAP lanzó algunas actualizaciones de seguridad para su producto de base de datos Adaptive Server Enterprise (ASE), empleado por miles de empresas en todo el mundo.
Aunque las actualizaciones fueron lanzadas en mayo, múltiples administradores de sistemas siguen sin instalarlas, por lo que la compañía ha vuelto a solicitar su inmediata instalación, pues los actores de amenazas aún podrían explotar estas fallas para tomar control del software afectado y sus servidores subyacentes.
ASE es un servidor de base de datos de alto rendimiento que puede ser alojado en estructuras físicas o en la nube empleado por más de 30 mil organizaciones a nivel mundial, incluyendo instituciones bancarias, compañías de servicios de salud, empresas de seguridad y más, afirman ejecutivos de SAP.
Acorde a expertos en seguridad web, la más reciente actualización de SAP incluía siete correcciones de ASE para parchear vulnerabilidades de severidad moderada y crítica. Al lanzar la actualización, diversos miembros de la comunidad de la ciberseguridad hicieron énfasis en la importancia de su instalación: “Muchas organizaciones almacenan información crítica en bases de datos expuestas o mal configuradas; vulnerabilidades como estas pueden ser explotadas debido a estas prácticas, de ahí la importancia de instalar estas actualizaciones”, menciona un reporte de la firma Trustwave.
La más crítica de las vulnerabilidades en SAE, identificada como CVE-2020-6248, permitiría a los actores de amenazas ejecutar comandos para corromper el archivo de configuración de los servidores de respaldo. La falla recibió un puntaje de 9.1/10 en el Common Vulnerability Scoring System (CVSS).
Los expertos en seguridad web también reportaron una vulnerabilidad de escalada de privilegios identificada como CVE-2020-6252, que recibió un puntaje de 9/10. Esta falla también afecta al componente Cockpit de SAP ASE que emplea una base de datos auxiliar basada en SQL Anywhere y que se ejecuta con privilegios de LocalSystem. La contraseña para iniciar sesión se almacena en un archivo que cualquier usuario puede leer, por lo que un hacker malicioso con acceso local podría acceder a la base de daos auxiliar y desplegar comandos arbitrarios.
La falla CVE-2020-6243 también es una escalada de privilegios que recibió un puntaje de 8/10. Al parecer, cualquier usuario de la base de datos, sin importar su nivel de privilegios, podría forzar la ejecución del archivo C:\SAP\.DLL y reemplazarlo con un archivo malicioso. La explotación de esta falla puede conducir a la ejecución de código arbitrario con privilegios del sistema.
Otras fallas recibieron puntajes menores, aunque su presencia también representa un riesgo para los administradores. Se recomienda a los administradores de sistemas actualizar sus implementaciones a la brevedad. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad