Vulnerabilidad crítica en SAP debida a configuraciones predeterminadas

Nueve de cada 10 empresas que actualmente utilizan SAP se enfrentan a una grave vulnerbilidad que pone en riesgo sistemas críticos de negocio. El fallo de seguridad en los sistemas SAP Hana llevaría existiendo unos 13 años, permitiendo que cibercriminales puedan atacar con éxito.

Esta vulnerabilidad expone todos los sistemas críticos: ERP, HR, Financiero y Supply Chain.

Fallo de seguridad en configuración por defecto de SAP

Según el informe publicado por Onapsis -empresa dedicada a seguridad en ERPs- este fallo de seguridad afecta al módulo Netweaver de SAP, posibilitando que un atacante remoto y sin autenticar, contando únicamente con acceso de red, sea capaz de acceder a los sistemas SAP sin restricción alguna.

Aunque el escenario potencial requeriría conocer la arquitectura SAP presente y los estándares de codificación, lo cierto es que no es difícil y el premio es suculento.

Netweaver es el módulo sobre el que asientan todos los despliegues de SAP -utilizado por 378000 clientes en todo el mundo- y los problemas que afectan a esta configuración por defecto están presentes en todas las versiones de Netweaver, incluyendo la suite S/4HANA, destinada a servicios cloud de nueva generación. No es algo que se solucione con un parche correctivo, como describe JP Pérez Etchegoyen, CTO de Onapsis:

No es algo que las empresas necesiten parchear, es algo que necesitan modificar en su implementación de SAP actual. Básicamente se trata de un parámetro de configuración de las aplicaciones que está configurado para no restringir el acceso por defecto. […] Ya fue documentado en 2005, pero aún nos encontramos con 9 de cada 10 implementaciones vulnerables.

Consecuencias de la vulnerabilidad

Si no se han tomado medidas de seguridad apropiadas, la instalación de SAP Netweaver podría ser comprometida por un atacante remoto sin autenticar con solo tener acceso a la misma red.

Las consecuencias podrían ser varias, por ejemplo modificar configuraciones en los servicios, alterar la información o desviarla a un servidor remoto o, por qué no, causar una interrupción en el servicio que afecte a importantes áreas de cualquier empresa.

El problema en la configuración hace posible que un atacante registre un servidor de aplicaciones malicioso, que comience a recibir conexiones de clientes del sistema SAP, pretendiendo ser una parte de los servidores de aplicaciones de confianza de la organización.

Normalmente, las empresas tienen su implementación existente en una red plana, lo que significa que todos los servicios son visibles y alcanzables sin restricciones. Esto permitiría a un atacante, aunque no tenga usuario ni contraseña, acceder a toda la información almacenada y procesada en el sistema.

No se tiene constancia de que estos problemas hayan sido explotados, pero Onapsis ha decidido finalmente hacer pública la vulnerabilidad tras obtener, durante sus escaneos en 2017, la grave estadística que ya hemos comentado.

Medidas para mitigar el riesgo

Los administradores de SAP pueden aplicar las siguientes notas publicadas por los desarrolladores para mitigar los problemas. Es necesario SAP Login.

• SAP Security Note 821875
• SAP Security Note 1408081
• SAP Security Note 1421005

En la web de Onapsis se nos ofrece una evaluación gratuita de nuestro sistema para verificar si resultaría vulnerable. Es necesario rellenar un cuestionario (consulta los detalles en el informe referido anteriormente).

Conclusiones

Los servicios ofrecidos por SAP son la base sobre la que apoyan sistemas críticos y de producción de centenares de miles de empresas en todo el mundo. Desde ellos se gestionan desde información de clientes/proveedores o pedidos hasta registros financieros e información clasificada para I+D, por no hablar de sistemas productivos.

Es vital, por tanto,  concederle la importancia que realmente tiene y tomar las medidas apropiadas tan pronto sea posible. En una escala de importancia/urgencia, estaríamos hablando de 10 sobre 10.