Se cree que 9 de cada 10 sistemas de producción de SAP son vulnerables a nuevas explotaciones.
Los investigadores afirman que hasta 50.000 empresas que han adoptado soluciones SAP pueden ser susceptibles a ataques cibernéticos debido a nuevas vulnerabilidades que apuntan a fallas de configuración en el software.
Los investigadores de seguridad también han advertido a las empresas que utilizan soluciones SAP para gestionar los procesos empresariales sobre los peligros derivados de dejar la ACL deshabilitada, presentando sus hallazgos en varias conferencias centradas en la seguridad en 2007 y 2010 [1, 2]
Según el equipo de ciberseguridad del laboratorio de investigación de Onapsis, los ataques denominados 10KBlaze que apuntan a dos componentes técnicos del software SAP se han lanzado recientemente y pueden llevar al “compromiso total” de las aplicaciones SAP.
Alerta de US-CERT
La importancia del tema es reflejada con la publicación del alerta Alert (AA19-122A) emitido por CISA (US CERT). Allí se detalla en forma resumida y concreta la amenaza, sus detalles técnicos y la forma de mitigación.
pysap
Estas vulnerabilidades, que no son nuevas, toman mayor importancia a partir del mes pasado cuando los investigadores de seguridad de Sogeti, Mathieu Geli y Dmitry Chastuhin de ERPScan presentaron su charla (SAP) Gateway to Heaven en la Conferencia de Seguridad OPCDE (PDF y videos) una nueva herramienta opensource y la actualización de otra, pysap, que mediante la técnica de explotación que desarrollaron, facilitan revertir protocolos de SAP y así poder tomar control total de servidores SAP.
El investigador Mathiu Geli dijo que el problema tenía que ver con la forma en que las aplicaciones de SAP se comunican entre sí dentro de una empresa.
En este tweet Martin Gallo (autor inicial de pysap) destaca el trabajo conjunto de Mathieu Geli y Dmitry Chastuhin con pysap, y los exploits desarrollados para el ataque.
El problema con la configuracion de ACL se conoce a partir de 2005 y se produce porque SAP deshabilita la ACL de NetWeaver de forma predeterminada para permitir que las empresas adapten el producto a cada una de las necesidades de sus clientes.
En un informe que detalla las vulnerabilidades, Onapsis dijo que tales compromisos incluyen la eliminación de datos de aplicaciones críticas para la empresa, así como el robo o modificación de información confidencial.
Las herramientas “10KBlaze” también podrían usarse para crear nuevos usuarios SAP con privilegios arbitrarios, para realizar funciones comerciales como crear nuevos proveedores o pedidos de compra, en otras palabras, cometer fraude financiero y obtener acceso a las bases de datos de SAP o interrumpir operaciones de negocios.
Sin ninguna forma de autenticación, los atacantes remotos solo necesitan algunos conocimientos técnicos y conectividad de red al sistema vulnerable para realizar un ataque.
Todos los sistemas SAP NetWeaver Application Server (AS) y S/4HANA, ya que utilizan una lista de control de acceso (ACL) en el Gateway y en el Servidor de Mensajes (Message Server), pueden estar en riesgo. Los investigadores dicen que las aplicaciones se ven afectadas, entre otras:
- SAP S/4HANA
- SAP Enterprise Resource Planning (ERP)
- SAP Product Lifecycle Management (PLM)
- SAP Customer Relationship Management (CRM)
- SAP Human Capital Management (HCM)
- SAP Supply Chain Management (SCM)
- SAP Supplier Relationship Management (SRM)
- SAP NetWeaver Business Warehouse (BW)
- SAP Business Intelligence (BI)
- SAP Process Integration (PI)
- SAP Solution Manager (SolMan)
- SAP Governance, Risk & Compliance 10.x (GRC)
- SAP NetWeaver ABAP Application Server 7.0 – 7.52
Los exploits no se basan en vulnerabilidades del núcleo en el código SAP. Más bien, los errores en la configuración administrativa de SAP NetWeaver y las configuraciones se pueden usar para comprometer las aplicaciones.
Según Onapsis, hasta 50,000 compañías y un colectivo de un millón de sistemas que utilizan SAP NetWeaver y S/4HANA están mal configurados. El equipo estima que el 90 por ciento de los sistemas SAP en uso por las empresas pueden ser vulnerables.
“Si estas configuraciones no son seguras, según lo recomendado por SAP (más fácil de hacer durante la implementación y el proceso GoLive), [las] explotaciones recientemente publicadas se pueden usar contra las compañías afectadas”, dice Onapsis.
SAP ha publicado las notas:
- 821875 – Security settings in the message server
- 1408081 – Basic settings for reg_info and sec_info
- 1421005 – Secure configuration of the message server
en 2005, 2009 y 2010 para clientes, las que describen cómo establecer correctamente la configuración de la aplicación para evitar la explotación. Se recomienda que los equipos de TI verifiquen sus instalaciones de inmediato para asegurarse de que están protegidos y correctamente configurados, sobre todo verificar que no tienen los componentes de SAP susceptibles de ataque, expuestos a Internet.
Onapsis desarrolló y publicó un conjunto de reglas para Snort, el software abierto IDS/IPS, con las cuales se puede detectar y contener cualquier intento de ataque con este tipo de explotación.
“SAP siempre recomienda enfáticamente instalar correcciones de seguridad a medida que se publican”, dijo SAP.