Actualmente cerca del 90% de un total estimado de 1.000.000 de sistemas en producción de SAP (software de planificación de recursos empresariales), podrían ser vulnerables por los actores de amenazas con exploits críticos de uso público dirigidas a instalaciones de SAP mal configuradas.
El equipo de investigación, se percató del lanzamiento de estas nuevas vulnerabilidades el 23 de abril; los sistemas SAP vulnerables pueden ser explotados de forma remota por atacantes no autenticados (sin requerir ID de usuario y contraseña), lo que podría comprometer completamente la plataforma SAP atacada, permitiendo extraer información, eliminar todos los datos o apagar los sistemas por completo.
El conjunto de vulnerabilidades denominado “10KBLAZE” no se dirige a las vulnerabilidades de seguridad presentes en el código de SAP, sino a errores de configuración administrativa de las instalaciones de SAP NetWeaver (incluido S4/HANA), según el informe publicado.
El único requisito para explotar las fallas de seguridad que afectan a los sistemas de producción de SAP, con un número estimado de 50.000 compañías es que los atacantes tengan acceso de red a los sistemas de producción de SAP vulnerables.
Los posibles ciberdelincuentes serían capaces de realizar varias transacciones comerciales críticas, al mismo tiempo que tendrían la posibilidad de borrar por completo todos los rastros que quedan en los entornos SAP comprometidos, entre los cuales se incluye: la creación de vendedores y empleados falsos, la creación/modificación de órdenes de compra, el cambio de cuentas bancarias, realizar un pago a cualquier vendedor o empleado, liberación de envíos, cambio de datos de inventario, generación de informes de gestión corruptos, evasión de los controles automáticos de negocios.
Las organizaciones pueden mitigar los riesgos planteados por los exploits de 10KBLAZE siguiendo los procedimientos de mitigación detallados en las siguientes Notas de seguridad de SAP:
- Nota de seguridad de SAP #821875 : 'Configuración de seguridad en el servidor de mensajes' de 2005 detalla la configuración adecuada de ACL del servidor de mensajes.
- Nota de seguridad de SAP #1408081 : 'Configuraciones básicas para Reg_info y Sec_info' de 2009 explica la configuración adecuada de SAP Gateway ACL
- Nota de seguridad de SAP #1421005 : Hace cumplir la nota de seguridad de SAP #821875
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también emitió una alerta de actividad el 2 de mayo que contiene medidas de mitigación de vulnerabilidad que abordan los ataques de SAP 10KBLAZE.
REFERENCIA
COMENTARIOS