Sergey Nivens - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Vulnerabilidad de seguridad de SAP podría afectar a 40 mil clientes

Más de 40.000 sistemas SAP podrían ser vulnerables a una falla de seguridad que permita a los atacantes obtener acceso a los sistemas. SAP lanzó un parche para mitigar la vulnerabilidad.

Una vulnerabilidad de seguridad de SAP está dejando a miles de sistemas SAP en riesgo de exponer datos críticos.

La vulnerabilidad, denominada RECON (por las siglas en inglés de código explícitamente explotable en NetWeaver), fue descubierta el 27 de mayo por Onapsis Research Labs, un equipo de expertos en seguridad de ERP en Onapsis y el Equipo de respuesta de seguridad de SAP. SAP lanzó un parche para abordar la falla el 13 de julio en la nota de seguridad de SAP 2934135.

Mariano Nunez

La vulnerabilidad RECON podría afectar potencialmente a más de 40.000 clientes de SAP, particularmente aquellos con sistemas conectados directamente a internet, dijo Mariano Núñez, CEO de Onapsis, una firma con sede en Boston que se asocia con SAP para investigar y abordar problemas de seguridad empresarial.

La vulnerabilidad de seguridad de SAP afecta a un elemento predeterminado llamado servicio web CTC, un componente poco utilizado pero ubicuo que reside en cada aplicación SAP que ejecuta la tecnología SAP NetWeaver Java. SAP NetWeaver Java sirve como base para muchas aplicaciones de SAP, que a menudo también están conectadas a través de API e interfaces comunes. Las aplicaciones incluyen SAP SCM (Supply Chain Management), SAP CRM, SAP Enterprise Portal, SAP Process Integration y SAP Solution Manager, según Onapsis.

El error RECON recibió la puntuación CVSS más alta de 10 de 10 por su gravedad y potencial para afectar los sistemas y datos de SAP. El sistema común de puntuación de vulnerabilidad es un marco bien conocido para medir la gravedad de la vulnerabilidad. La Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional de los EE. UU. emitió una alerta de alerta US-CERT AA20-195A de la vulnerabilidad, junto con el Equipo de Respuesta a Emergencias Informáticas del gobierno alemán (llamado CERT-Bund), así como alertas de otras agencias de seguridad globales.

Datos sensibles en riesgo

Si se explota la vulnerabilidad de seguridad de SAP, un atacante no autenticado puede crear un nuevo usuario de SAP que tenga los máximos privilegios y pueda eludir los controles de acceso y autorización para obtener acceso a los sistemas de SAP.

"Esto lo hace muy crítico porque los atacantes, sin necesidad de una identificación de usuario para el sistema objetivo, pueden obtener el control total sobre estas aplicaciones", dijo Núñez. "Entonces podrán robar datos confidenciales, modificar datos críticos o simplemente interrumpir el negocio apagando los sistemas".

Los tipos de datos en riesgo incluyen información de identificación personal (PII) de los empleados, datos de clientes, registros financieros, datos bancarios como números de cuenta y procesos de compra. Esto hace que los clientes sin parches sean vulnerables a violar las regulaciones financieras de Sarbanes-Oxley y el GDPR.

Según Nunez, el aumento del trabajo remoto debido a covid-19 puede haber aumentado la gravedad de RECON, ya que cada vez más personas usan internet para acceder a los sistemas SAP.

"Muchos de los sistemas ya estaban conectados a internet antes de covid para casos de uso como portales de autoservicio o proveedor B2B. Pero ahora, con todos trabajando remotamente, los sistemas tienen una relevancia aún mayor para la compañía", dijo. "Ahora, si interrumpe cualquiera de estos sistemas con conexión a internet, es posible que toda la empresa no pueda acceder a ellos. Antes eran solo las personas que trabajaban de forma remota".

Onapsis estima que más de 40.000 clientes de SAP están ejecutando sistemas con el componente de servicio web CTC. También estima que 2.500 de estos sistemas están conectados directamente a internet, con un 33 % en Norteamérica, un 29 % en Europa y un 27 % en Asia.

Parche disponible ahora

Una vez que SAP fue alertado de la vulnerabilidad por los investigadores de Onapsis, trabajó para desarrollar un parche, que está disponible ahora, dijo Khaja Ahmed, vicepresidente senior de SAP y jefe de seguridad global de productos y aplicaciones.

El servicio web CTC es un componente generalizado del Asistente de configuración de LM, que automatiza la configuración del sistema a través de las API. Sin embargo, el componente no se usa ampliamente, ya que la mayoría de las personas usan el Asistente de configuración de LM directamente, que no tenía autenticación incorporada, según Ahmed.

"Para ser claros, [la falla] está ahí, y ha estado allí durante 10 años", dijo. "Entonces, el hecho de que no se usa comúnmente y fue descubierto por Onapsis es algo bueno porque nos permitió abordar de manera proactiva algo antes de que fuera ampliamente utilizado".

El parche de seguridad agrega autenticación y autorización al servicio web CTC, dijo Ahmed.

El parche RECON es fácil de aplicar y no requiere el apagado o la reconfiguración de los sistemas SAP, dijo Núñez.

"El hecho de que este componente no se utilice ampliamente hace que la mejora sea más rápida en comparación con otros problemas que surgieron en el pasado", dijo. "Es muy probable que pueda aplicar el parche rápidamente con muy poca interrupción operativa para el negocio".

Tim McKnight

Los clientes de SAP han recibido alertas sobre la vulnerabilidad de seguridad y la disponibilidad del parche, dijo Tim McKnight, director de seguridad de SAP.

"Los clientes ya me dijeron que descargaron el parche y lo instalaron", dijo McKnight. "Así que sabemos que están escuchando, lo están tomando y lo están implementando".

Investigue más sobre Administración y desarrollo de SAP

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close