May 06

Cifras de investigadores revelan que alrededor del 90% de las empresas que usan sistemas SAP en producción son vulnerables a nuevos vectores de ataque debido, principalmente, a fallos de configuración de sus sistemas.

Igualmente se ha advertdo a las empresas que utilizan soluciones SAP para la gestión y soporte de procesos empresariales sobre los peligros derivados de dejar la puerta de enlace ACL ( Access Control Lists ) no securizada.

Los investigadores de seguridad también han advertido a las empresas que utilizan soluciones SAP para gestionar los procesos empresariales sobre los peligros derivados de dejar la ACL deshabilitada, presentando sus hallazgos en varias conferencias centradas en la seguridad en 2007 y 2010 [Exploiting SAP Internals, SAP Backdoors]

Según el equipo de ciberseguridad del laboratorio de investigación de Onapsis, los ataques denominados 10KBlaze que apuntan a dos componentes técnicos del software SAP se han lanzado recientemente y pueden llevar al «compromiso total» de las aplicaciones SAP.

La alerta de Alerta de US-CERT

La importancia del asunto es reflejado con la publicación de la alerta Alert (AA19-122A) emitido por CISA (US CERT). Allí se detalla en forma resumida y concreta la amenaza, sus detalles técnicos y la forma de mitigación.

PySAP

Estas vulnerabilidades, que no son nuevas, crecieron en importancia, desde el mes pasado cuando los investigadores de seguridad de Sogeti, Mathieu Geli y Dmitry Chastuhin de ERPScan presentaron su charla (SAP) Gateway to Heaven en la Conferencia de Seguridad OPCDE una nueva herramienta opensource y la actualización de otra, pysap, que mediante la técnica de explotación que desarrollaron, facilitan revertir protocolos de SAP y así poder tomar control total de servidores SAP.

El investigador Mathiu Geli dijo que el problema tenía que ver con la forma en que las aplicaciones de SAP se comunican entre sí dentro de una empresa.

El problema con la configuracion de ACL se conoce a partir de 2005 y se produce porque SAP deshabilita la ACL de NetWeaver de forma predeterminada para permitir que las empresas adapten el producto a cada una de las necesidades de sus clientes.

Tweet Martin Gallo (autor inicial de pysap) destaca el trabajo conjunto de Mathieu Geli y Dmitry Chastuhin con pysap, y los exploits desarrollados para el ataque.

En este informe que detalla las vulnerabilidades, Onapsis afirma que, tales compromisos incluyen eliminación, manipulación y eliminación de datos de la propia empresa. Un tema especialmente crítico en Europa por la ley GDPR y LOPDGDD en España.

Las herramientas «10KBlaze» también podrían ser usadas para la creación de nuevos usuarios SAP con privilegios elevados o realizar funciones de administración tales como: crear nuevos proveedores o pedidos de compra, en otras palabras, cometer fraude financiero y obtener acceso a las bases de datos de SAP o interrumpir operaciones de negocios.

Sin ninguna forma de autenticación, los atacantes remotos solo necesitan conocimientos técnicos medios y conectividad de red al sistema vulnerable para realizar un ataque.

Todos los sistemas SAP NetWeaver Application Server (AS) y S/4HANA, ya que utilizan una lista de control de acceso (ACL) en el Gateway y en el Servidor de Mensajes (Message Server), pueden estar en riesgo. Los investigadores dicen que las aplicaciones se ven afectadas, entre otras:


1
2
3
4
5
6
7
8
9
10
11
12
13
SAP S/4HANA
SAP Enterprise Resource Planning (ERP)
SAP Product Lifecycle Management (PLM)
SAP Customer Relationship Management (CRM)
SAP Human Capital Management (HCM)
SAP Supply Chain Management (SCM)
SAP Supplier Relationship Management (SRM)
SAP NetWeaver Business Warehouse (BW)
SAP Business Intelligence (BI)
SAP Process Integration (PI)
SAP Solution Manager (SolMan)
SAP Governance, Risk & Compliance 10.x (GRC)
SAP NetWeaver ABAP Application Server 7.0 - 7.52

Los exploits no se basan en vulnerabilidades del núcleo en el código SAP. Sino en los errores de configuración de SAP NetWeaver y las configuraciones se pueden usar para comprometer las aplicaciones.

Según Onapsis, hasta 50,000 compañías y un colectivo de un millón de sistemas que utilizan SAP NetWeaver y S/4HANA están mal configurados. El equipo estima que el 90 por ciento de los sistemas SAP en uso por las empresas pueden ser vulnerables.

«Si estas configuraciones no son seguras, según lo recomendado por SAP (más fácil de hacer durante la implementación y el proceso GoLive), [las] explotaciones recientemente publicadas se pueden usar contra las compañías afectadas», dice Onapsis.

SAP ha publicado las notas:

821875 - Security settings in the message server 
1408081 - Basic settings for reg_info and sec_info
1421005 - Secure configuration of the message server

En las notas 2005, 2009 y 2010 (Solo para clientes), en las que describe cómo establecer correctamente la configuración de la aplicación para evitar la explotación. Se recomienda que los equipos de TI verifiquen sus instalaciones de inmediato para asegurarse de que están protegidos y correctamente configurados, sobre todo verificar que no tienen los componentes de SAP susceptibles de ataque, expuestos a Internet.

Onapsis desarrolló y publicó un conjunto de reglas para Snort, el software abierto IDS/IPS, con las cuales se puede detectar y contener cualquier intento de ataque con este tipo de explotación.

Recordemos que «SAP siempre recomienda enfáticamente instalar correcciones de seguridad a medida que se publican».

Share

Jun 01

Vamos a empezar como el gran Gabriel García Márquez en su obra «Crónica de una muerte anunciada»  ¿Para qué estos procesadores? Pues generalmente para justificar precios desorbitados en equipos de Gamers a los que no se les va a quitar todo el potencial, fardar ante los amigos y poco más. Existen innumerables campos en los que estos procesadores son recomendados, aunque ya disponemos de soluciones más baratas y rápidas, como en el campo científico y cálculo matemático puro. Un usuario de ordenador común no obtendrá una mejora de rendimiento con un procesador como este, ni con aplicaciones genéricas de escritorio ni con juegos.

Empezamos….

Intel Core i9

Durante el Computex 2017, Intel desveló el Core i9, un nuevo procesador orientado a ordenadores de escritorio y seguramente algún que otro portátil Gamer.Este nuevo chip (7980XE) forma parte de la familia Intel Core X-series, una nueva familia de procesadores diseñada para los usuarios que más potencia requieren de sus ordenadores personales. Su coste es de 1.999 dólares, y cuenta con 18 núcleos en su interior. La compañía también ofrece versiones reducidas del Intel Core i9 con 16, 14, 12 y 10 núcleos, adaptándose a las necesidades de cada usuario. Los precios oscilan entre los 999 dólares (1.000 $ fuera de precios publicitarios) del modelo i9-7900X y los 1.999 dólares del i9-.7980XE.

Como datos a mayores podemos destacar que su frecuencia se estanca en los 3,3 GHz que puede llegar hasta los 4,5 GHz con la ayuda de Turbo Bost. Este último caso solamente aprovechable con una refrigeración acorde como la líquida adaptada que el propio Intel oferta.

Intel Core i9

Hasta aquí una retahíla de información que se puede resumir en que las frecuencias se quedan como están y que Intel afirma:»Más es mejor». Intentando ayudar a comprender este concepto habitualmente erróneo en el mundo de la ingeniería y en el de la planificación de proyectos voy a intentar explicar de forma amena y sencilla el motivo por el cual no es una buena compra. Para aquellos que tengan más curiosidad las afirmaciones siguientes se basan en la ley de ley de Amdahl, teoría de la paralelización de procesos y como no, arquitectura de procesadores.

Para hacer más amena la explicación, el trabajo de un procesador, se puede entender como un conjunto de operarios vaciando un camión. Con el cambio de milenio se dio el salto a los procesadores multinúcleo, en ese momento, se pasó de uno a dos trabajadores vaciando mercancía del camión. Era evidente que, en la mayoría de los casos el doble de procesadores, era el doble de bueno, y la velocidad se multiplicó casi por dos.

Multiproceso y paquetearía

Esta dualidad de procesadores conllevó una serie de problemas ya conocidos por la industria, en servidores y sistemas multiprocesador, como paralelización de procesos, que viene a ser algo así como el «Como organizar a los trabajadores para vaciar el camión». Después de los 2 trabajadores y viendo que otros factores como la frecuencia, que se puede entender como el tiempo en el que cada trabajador descarga una caja, no eran mejorables, se optó por contratar más trabajadores y se decidió pasar a 4.

Pero ese fue el primer golpe, 4 trabajadores, en uso normal, no eran el doble de rápidos que 2 solamente un 50% más rápidos ¿Cuál era el problema? Principalmente 2:

  1. El tiempo empleado en dividir y sincronizar las tareas comenzaba a ser alto
  2. No todas las tareas se pueden paralelizar

Esto se puede entender como:

  1. El encargado empieza a perder un tiempo considerable en coordinar a los empleados.
  2. Las cajas no siempre se pueden descargar desordenadas o al mismo tiempo.

Pero claro la cosa no quedó ahí la fiebre de los núcleos fue en aumento, después de los 4 vinieron los 6 y ya casi al instante los 8. Pero la eficiencia no aumentaba linealmente 6 trabajadores solamente eran un 30% más rápidos que 4 y 8 trabajadores solo eran entre un 10 y un 20 % más rápidos que 6. La sorpresa es que cuando se incluyen más procesadores estos pasan a un rendimiento peor. Generalmente 10 procesadores ya son ligeramente más lentos en la ejecución de tareas que 8.

Y ¿Cuál es el problema si seguimos ganando velocidad? Pues aquí entra en juego el señor Amdahl, y el poderoso caballero don dinero. A groso modo, si se establece una relación entre el incremento de precio de los procesadores y las mejoras calculadas de rendimiento se va a ver que a pesar de incurrir en altos costes la mejora de rendimiento según subimos de procesadores es baja e incluso peor a medida que aumentamos los núcleos. Básicamente al intentar dividir el trabajo entre muchos trabajadores para descargar el camión, estos acaban peleándose por las cajas o bien no nos queda más remedio que poner a trabajar a 8, que suele ser la medida de máximo rendimiento y poner a los otros sentaditos mirando. ¿El problema? los que están sentados siguen cobrando su sueldo.

Share

preload preload preload