La agencia United States Computer Emergency Readiness de EE.UU. ha recibido una alerta por una vulnerabilidad SAP de hace seis años que todavía está siendo explotada. Sin embargo, la responsabilidad de esta brecha de seguridad recae en este caso sobre los usuarios según Onapsis, un proveedor de seguridad SAP.
La compañía SAP ya publicó el parche adecuado para los errores en su momento, pero era tarea de los usuarios aplicarlos a sus sistemas. “El componente vulnerable en cuestión, Invoker Servletk, fue invalidado por SAP en SAP Net Weaver 7.20 en el año 2010. SAP ha publicado los parches necesarios para solucionarlos gratuitamente, por lo que el acceso era fácil para los afectados”, ha comentado Onapsis.
“Los cambios de configuración corren a cargo del consumidor por lo que en ningún momento se invalidó la actualización que corregía la brecha a partir del SAP NetWeaver 7.20. Además, en 2010 la empresa notificó a los clientes que Invoker Servletk estaba inutilizado a partir de ese momento en las siguientes actualizaciones y aconsejó a los usuarios que primero incapacitaran este componente antes de implementar ninguna aplicación personalizada en el servicio”, ha añadido SAP.
El parche de seguridad una de las principales cuestiones abordadas cuando los consultores hablan de que paso se debe dar para mejorar la seguridad; sin embargo hay razones que a veces impiden que se haga rápidamente; por ejemplo, surge alguna otra urgencia de seguridad de más importancia, planear tiempo para instalar actualizaciones es complicado o encontrar parches que no empeoren el funcionamiento de otras aplicaciones implica muchas horas de trabajo.
La razón por la que el equipo United States Computer Emergency Readiness ha alertado de esta vulnerabilidad teniendo tanto tiempo de recorrido se halla en que Onapsis ha señalado 36 casos de compañías grandes por todo el mundo que están sufriendo ciberataques por ello. Esto podría tratarse de solo la punta del iceberg, por lo que la publicación de la noticia podría alertar a empresas que estén sufriendo esta brecha sin saberlo.
“Los afectados por Invoker Servlet sufren un ataque conjunto de la brecha SAP y de un problema de Java; los criminales pueden acceder remotamente y sin autentificación a las plataformas afectadas SAP, y les provee del control de información de negocio y de procesos del sistema”, explica en la alerta el US-CERT. “También permite potencialmente acceder a otros sistemas”.
Según Onapsis la vulnerabilidad se puede explotar mediante HTTPS y sin tener un usuario válido en el sistema al que se dirige. “Para poder llevar a cabo un ataque el atacante solo necesita un navegador web y una dirección IP o un dominio”, ha comentado Onapsis en su advertencia.
Para poder evitar el ataque las potenciales víctimas pueden seguir varios pasos:
- Escanear los sistemas en busca de las conocidas vulnerabilidades (como la falta de actualización del sistema).
- Identificar y analizar la configuración de seguridad en las interfaces SAP entre sistemas y aplicaciones para entender el riesgo que se hace al confiar en estas relaciones.
- Analizar los sistemas en busca de autorizaciones de usuarios excesivos o maliciosos.
- Monitorizar los sistemas en busca de indicadores de aplicaciones comprometidas que puedan resultar ser brechas a explotar.
- Monitorizar los sistemas en busca de actitudes sospechas entre los usuarios privilegiados y no privilegiados.
- Definir líneas de actuación de seguridad fáciles de entender en los sistemas y monitorizarlos continuamente en busca de violaciones de los dispositivos.
Según SAP cuentan con más de 310.000 usuarios en 190 países, 80% de ellos en pequeñas y medianas empresas. Las conocidas compañías que se han visto afectadas se encuentran en China, Alemania, India, Japón, Coreo del Sur, el Reino Unido y EE.UU. Los negocios afectados operan en un amplio rango de industrias que incluyen el petróleo y el gas, las telecomunicaciones, los servicios, la distribución, la industria del automóvil y la producción de acero.
Fuente: cso.computerworld.es