¿Prestas atención en aplicar los parches de seguridad SAP?
El pasado 6 de abril, SAP junto a la firma de seguridad Onapsis, emitieron un comunicado para tratar de ayudar a los clientes SAP contra los ciberdelincuentes que buscan identificar y comprometer a través de una variedad de vectores de ataque, aquellas organizaciones que cuentan con sistemas SAP vulnerables.
SAP y Onapsis recomiendan encarecidamente a todas las organizaciones que tomen medidas inmediatas, centradas en una rápida aplicación de los pertinentes parches de seguridad SAP así como de una revisión exhaustiva de las configuraciones de seguridad de sus entornos.
A este aviso de SAP y Onapsis, se han unido organizaciones gubernamental como el U.S. Department of Homeland Security’s CISA y la Oficina Federal de Seguridad de la Información (BSI) de Alemania. Entidades que también han elaborado y publicado alertas y notificaciones sobre este asunto.
Siendo consciente de la criticidad de los sistemas SAP vulnerables, la firma alemana publica mensualmente correcciones de seguridad para sus productos.
Lamentablemente, el informe destaca que se siguen observando muchas organizaciones que todavía no han aplicado las mitigaciones pertinentes, permitiendo que los sistemas SAP desprotegidos sigan funcionando y, en muchos casos, sigan siendo visibles para los atacantes a través de Internet.
Se estima que las diferentes aplicaciones SAP son empleadas por al menos 400.000 organizaciones en todo el mundo. SAP afirma que hubo al menos 1.500 intentos de ataque relacionados con las aplicaciones SAP rastreados entre junio de 2020 y marzo de 2021, y al menos 300 tuvieron éxito.
A continuación listamos las 6 vulnerabilidades que a día de hoy y según el reporte, son las más explotadas por los atacantes. Al lado de la vulnerabilidad, incluimos su puntuación CVSS, donde 10 es el máximo de criticidad.
CVE-2020-6287: CVSS: 10
También conocida como RECON, este fallo explotable remotamente en SAP NetWeaver en su pila Java es causado por una comprobación de autenticación fallida. No se requieren privilegios y, una vez explotada, esta vulnerabilidad conduce a la creación de cuentas de administrador y a un secuestro total del sistema.
Se publicó un parche de seguridad SAP con la corrección el 14 de julio de 2020, según los investigadores, a día de hoy es posible encontrar numerosos sistemas sin parchear a través de internet.
CVE-2020-6207: CVSS 10
Este fallo crítico, que afecta a la versión 7.2 de SAP Solution Manager (SolMan), permite a los atacantes obtener un control administrativo total sobre el centro de la configuración SAP de una organización.
Los intentos de explotación han «aumentado significativamente» desde la publicación del código de explotación PoC de trabajo.
CVE-2018-2380: CVSS 6.6
Esta vulnerabilidad encontrada en 2018 puede llegar a utilizarse para realizar una escalada de privilegios y ejecutar comandos, lo que eventualmente permite el movimiento lateral a través de una red corporativa.
Se publicó parche de seguridad SAP el 1 de marzo de 2018.
CVE-2016-9563: CVSS 6.4
Parcheada en agosto de 2016, esta vulnerabilidad afecta a un componente de la versión 7.5 de SAP NetWeaver en su pila JAVA, el atacante puede ejecutar ataques remotos para conseguir llegar a crear un usuario en el sistema.
CVE-2016-3976: CVSS 7.5
Otra vulnerabilidad encontrada en SAP NetWeaver con pila JAVA. Esta vez el fallo de seguridad, parcheado en marzo de 2016, permite a los atacantes remotos leer archivos arbitrarios a través de secuencias de cruce de directorios, lo que conduce a fugas de información y potencialmente a la escalada de privilegios si son capaces de acceder a los recursos adecuados.
CVE-2010-5326: CVSS 10
Una vulnerabilidad crítica causada por un fallo de autenticación en el Servlet Invoker dentro de las plataformas SAP NetWeaver Application Server con pila JAVA. El fallo de seguridad permite a los atacantes obtener el control total de los procesos de SAP. En 2016, el Departamento de Seguridad Nacional de los Estados Unidos (DHS) emitió una alerta sobre el aprovechamiento activo de este fallo, que continúa a día de hoy.
Además, el informe dice que la ventana para la aplicación de parches es «significativamente más pequeña de lo que se pensaba», ya que algunas vulnerabilidades de SAP se convierten en armas en menos de 72 horas después de la divulgación pública.