May 06

Cifras de investigadores revelan que alrededor del 90% de las empresas que usan sistemas SAP en producción son vulnerables a nuevos vectores de ataque debido, principalmente, a fallos de configuración de sus sistemas.

Igualmente se ha advertdo a las empresas que utilizan soluciones SAP para la gestión y soporte de procesos empresariales sobre los peligros derivados de dejar la puerta de enlace ACL ( Access Control Lists ) no securizada.

Los investigadores de seguridad también han advertido a las empresas que utilizan soluciones SAP para gestionar los procesos empresariales sobre los peligros derivados de dejar la ACL deshabilitada, presentando sus hallazgos en varias conferencias centradas en la seguridad en 2007 y 2010 [Exploiting SAP Internals, SAP Backdoors]

Según el equipo de ciberseguridad del laboratorio de investigación de Onapsis, los ataques denominados 10KBlaze que apuntan a dos componentes técnicos del software SAP se han lanzado recientemente y pueden llevar al «compromiso total» de las aplicaciones SAP.

La alerta de Alerta de US-CERT

La importancia del asunto es reflejado con la publicación de la alerta Alert (AA19-122A) emitido por CISA (US CERT). Allí se detalla en forma resumida y concreta la amenaza, sus detalles técnicos y la forma de mitigación.

PySAP

Estas vulnerabilidades, que no son nuevas, crecieron en importancia, desde el mes pasado cuando los investigadores de seguridad de Sogeti, Mathieu Geli y Dmitry Chastuhin de ERPScan presentaron su charla (SAP) Gateway to Heaven en la Conferencia de Seguridad OPCDE una nueva herramienta opensource y la actualización de otra, pysap, que mediante la técnica de explotación que desarrollaron, facilitan revertir protocolos de SAP y así poder tomar control total de servidores SAP.

El investigador Mathiu Geli dijo que el problema tenía que ver con la forma en que las aplicaciones de SAP se comunican entre sí dentro de una empresa.

El problema con la configuracion de ACL se conoce a partir de 2005 y se produce porque SAP deshabilita la ACL de NetWeaver de forma predeterminada para permitir que las empresas adapten el producto a cada una de las necesidades de sus clientes.

Tweet Martin Gallo (autor inicial de pysap) destaca el trabajo conjunto de Mathieu Geli y Dmitry Chastuhin con pysap, y los exploits desarrollados para el ataque.

En este informe que detalla las vulnerabilidades, Onapsis afirma que, tales compromisos incluyen eliminación, manipulación y eliminación de datos de la propia empresa. Un tema especialmente crítico en Europa por la ley GDPR y LOPDGDD en España.

Las herramientas «10KBlaze» también podrían ser usadas para la creación de nuevos usuarios SAP con privilegios elevados o realizar funciones de administración tales como: crear nuevos proveedores o pedidos de compra, en otras palabras, cometer fraude financiero y obtener acceso a las bases de datos de SAP o interrumpir operaciones de negocios.

Sin ninguna forma de autenticación, los atacantes remotos solo necesitan conocimientos técnicos medios y conectividad de red al sistema vulnerable para realizar un ataque.

Todos los sistemas SAP NetWeaver Application Server (AS) y S/4HANA, ya que utilizan una lista de control de acceso (ACL) en el Gateway y en el Servidor de Mensajes (Message Server), pueden estar en riesgo. Los investigadores dicen que las aplicaciones se ven afectadas, entre otras:


1
2
3
4
5
6
7
8
9
10
11
12
13
SAP S/4HANA
SAP Enterprise Resource Planning (ERP)
SAP Product Lifecycle Management (PLM)
SAP Customer Relationship Management (CRM)
SAP Human Capital Management (HCM)
SAP Supply Chain Management (SCM)
SAP Supplier Relationship Management (SRM)
SAP NetWeaver Business Warehouse (BW)
SAP Business Intelligence (BI)
SAP Process Integration (PI)
SAP Solution Manager (SolMan)
SAP Governance, Risk & Compliance 10.x (GRC)
SAP NetWeaver ABAP Application Server 7.0 - 7.52

Los exploits no se basan en vulnerabilidades del núcleo en el código SAP. Sino en los errores de configuración de SAP NetWeaver y las configuraciones se pueden usar para comprometer las aplicaciones.

Según Onapsis, hasta 50,000 compañías y un colectivo de un millón de sistemas que utilizan SAP NetWeaver y S/4HANA están mal configurados. El equipo estima que el 90 por ciento de los sistemas SAP en uso por las empresas pueden ser vulnerables.

«Si estas configuraciones no son seguras, según lo recomendado por SAP (más fácil de hacer durante la implementación y el proceso GoLive), [las] explotaciones recientemente publicadas se pueden usar contra las compañías afectadas», dice Onapsis.

SAP ha publicado las notas:

821875 - Security settings in the message server 
1408081 - Basic settings for reg_info and sec_info
1421005 - Secure configuration of the message server

En las notas 2005, 2009 y 2010 (Solo para clientes), en las que describe cómo establecer correctamente la configuración de la aplicación para evitar la explotación. Se recomienda que los equipos de TI verifiquen sus instalaciones de inmediato para asegurarse de que están protegidos y correctamente configurados, sobre todo verificar que no tienen los componentes de SAP susceptibles de ataque, expuestos a Internet.

Onapsis desarrolló y publicó un conjunto de reglas para Snort, el software abierto IDS/IPS, con las cuales se puede detectar y contener cualquier intento de ataque con este tipo de explotación.

Recordemos que «SAP siempre recomienda enfáticamente instalar correcciones de seguridad a medida que se publican».

Share

Leave a Reply

preload preload preload