La falla crítica permite a los piratas informáticos violar los sistemas SAP con facilidad

Los usuarios de SAP deben implementar de inmediato un parche recién lanzado para una vulnerabilidad crítica que podría permitir a los piratas informáticos comprometer sus sistemas y los datos que contienen. La falla está en un componente central que existe de manera predeterminada en la mayoría de las implementaciones de SAP y puede explotarse de forma remota sin la necesidad de un nombre de usuario y contraseña.

Los investigadores de la firma de seguridad Onapsis que encontraron e informaron la vulnerabilidad estiman que 40.000 clientes de SAP en todo el mundo podrían verse afectados. Más de 2500 sistemas SAP vulnerables están expuestos directamente a Internet y tienen un mayor riesgo de ser pirateados, pero los atacantes que obtienen acceso a las redes locales pueden comprometer otras implementaciones.

¿Cuál es el impacto de la vulnerabilidad de SAP?

La vulnerabilidad se rastrea como CVE-2020-6287 y se encuentra en SAP NetWeaver Application Server Java, que es la pila de software subyacente a la mayoría de las aplicaciones empresariales de SAP. Las versiones 7.30 a 7.50 de NetWeaver Java se ven afectadas, incluida la última, y ​​todos los paquetes de soporte (SP) lanzados por SAP.

La vulnerabilidad, que también ha sido denominada RECON (código explotable remotamente en NetWeaver), tiene la clasificación de gravedad más alta posible (10) en el Common Vulnerability Scoring System (CVSS) porque se puede explotar a través de HTTP sin autenticación y puede conducir a una compromiso del sistema. La falla permite a los atacantes crear un nuevo usuario con rol administrativo, eludiendo los controles de acceso existentes y la segregación de funciones.

"Tener acceso administrativo al sistema permitirá al atacante administrar (leer / modificar / eliminar) todos los registros o archivos de la base de datos del sistema", advirtió Onapsis en un aviso. "Debido al tipo de acceso sin restricciones que obtendría un atacante al explotar sistemas no parcheados, esta vulnerabilidad también puede constituir una deficiencia en los controles de TI de una empresa para los mandatos regulatorios, lo que podría afectar el cumplimiento financiero (Sarbanes-Oxley) y de privacidad (GDPR)".

La vulnerabilidad abre a las organizaciones a varios tipos de ataques. Los piratas informáticos podrían usarlo para robar información de identificación personal (PII) perteneciente a empleados, clientes y proveedores; leer, modificar o borrar registros financieros; cambiar los datos bancarios para desviar pagos y modificar los procesos de compra; datos corruptos; o interrumpir el funcionamiento de los sistemas pérdidas financieras debido al tiempo de inactividad del negocio. La falla también permite a los atacantes ocultar sus pistas al eliminar registros y ejecutar comandos en el sistema operativo con los privilegios de la aplicación SAP.

Las aplicaciones SAP afectadas incluyen SAP S / 4HANA Java, SAP Enterprise Resource Planning (ERP), SAP Supply Chain Management (SCM), SAP CRM (Java Stack), SAP Enterprise Portal, SAP HR Portal, SAP Solution Manager (SolMan) 7.2, SAP Landscape Management (SAP LaMa), Integración / orquestación de procesos SAP (SAP PI / PO), Relación con proveedores de SAP