Vulnerabilidades críticas en SAP obliga a empresas a realizar actualizaciones de emergencia

15 de marzo de 2022 por Yhojann Aguilera Aguayo en Vulnerabilidades.

img

En Chile existe la gran preocupación entre distintas empresas, debido a una serie de vulnerabilidades críticas en el sistema ERP de gestión SAP, que permite a un atacante tomar control por completo de la solución, ejecutar comandos dentro del servidor alojado e incluso acceder por completo a su base de datos.

Esto sucede principalmente debido a que SAP utiliza de manera nativa una versión vulnerable de Log4J, específicamente aquella que es vulnerable a la ejecución de código remoto debido al mal manejo del interpretador JDNI (CVE-2021-44228 o Log4Shell).

El riesgo

A continuación, se desglosa el riesgo por cada vulnerabilidad:

Algunas fuentes

Análisis del impacto

No confundir que la vulnerabilidad Log4Shell (CVE-2021-44228) sea relativamente antigua, esto no quiere decir que algunos software aun hagan uso de el como es en el caso de SAP, en otras palabras, SAP cuenta con la vulnerabilidad reciente de que incluye este componente vulnerable.

Este riesgo es preocupante debido a que un atacante que logre acceder al servicio de SAP sin la necesidad de autenticarse podría ejecutar comandos dentro del servidor donde se encuentre esta solucón.

Pero, ¿esto quiere decir que si se encuentra dentro de una red local el riesgo disminuye?: la respuesta es si pero no lo suficiente. A lo largo de los años se han habido presedentes de ataques realizados por personal interno en diferentes compañías grandes y pequeñas en Chile y tampoco son casos aislados, este tipo de incidencias ocurren con mayor frecuencia de lo pensado.

Los desastres no curren sin más, son el resultado de una serie de sucedos que conllevan a una incidencia de proporciones mayores que pueden afectar no solamente a la contabilidad de una compañía sino también a posibles problemas legales y de pérdida de imagen corporativa.

Técnicamente hablando un atacante podría realizar una solicitud HTTP al servidor de SAP y enviar un paquete malicioso con código de ejecución, permitiendo al atacante, por ejemplo conectar a la base de datos y modificar información como credenciales de acceso o datos de contabilidad, también podría descargar software malicioso de tipo Troyano y tomar control del servidor o infectar la infraestructura con malware de tipo Ransomware.

Recomendaciones a los usuarios

Primero que nada esta vulnerabilidad ha sido solucionada hace muy poco, asi que la recomendación es muy clara, se debe actualizar el Software vulnerable lo antes posible para evitar una incidencia mayor.

La actualización de un Sistema no solamente cuenta con cambios a nivel de experiencia de usuario sino también de seguridad, por eso se recomienda mantener los sistemas y aplicaciones siempre actualizados.

Como segunda medida, como esta vulnerabilidad puede ser aprovechada de manera remota, se recomienda realizar un análisis de sistema o forense a la brevedad para determinar sin en la actualidad existió algún ataque que haya podido afectar a los datos confidenciales de los correos almacenados, si este fuese el caso se recomienda activar un procedimiento de seguridad para el cambio de credenciales de manera masiva de los sistemas de la compañía.

Como última recomendación, se recomienda aplicar un agente mitigante ya sea de tipo IPS de Firewall o WAF. Cabe recordar que una mitigación no soluciona un problema y siempre existe una posibilidad de que estas reglas puedan ser evadidas.

¿Deseas comentar este artículo?

Únete a la conversación en nuestro grupo de Telegram y comparte tu opinión. Tambien puedes compartirnos tus artículos en nuestro repositorio público.