Los investigadores de seguridad de Onapsis han descubierto una antigua vulnerabilidad en las aplicaciones empresariales de SAP que se remontan a 2013, lo que pone de relieve un grave riesgo al que se enfrentan decenas de empresas en todo el mundo.
En un anuncio paralelo, el Departamento de Seguridad Nacional de EE. UU. Alertó a empresas con sede en Estados Unidos, Reino Unido, India, Japón, Alemania, China y Corea del Sur sobre la falla de alto riesgo de SAP que afecta a las aplicaciones Java de SAP y los procesos comerciales críticos administrados por muchas organizaciones y empresas.
La vulnerabilidad, según Onapsis, podría exponer la información comercial y los procesos críticos de las empresas afectadas a los atacantes, permitiéndoles tomar el control total de esos activos incluso sin autenticación para acceder al vasto tesoro de datos. También se ven afectados algunos sistemas que no son de SAP.
Onapsis señaló un error en la especificación J2EE llamado Invoker Servlet, que los desarrolladores utilizan para ejecutar una prueba en aplicaciones Java. Los desarrolladores pueden extraer los servlets a través de Internet incluso sin tener autorización, lo que significa que cualquiera puede llamar a los servlets en cualquier momento. Con acceso completo a esta funcionalidad, los atacantes pueden manipular y explotar sistemas críticos de varias industrias siempre que conozcan la URL del servlet. Es por eso que ha alarmado a Seguridad Nacional, especialmente porque los atacantes también pueden crear cuentas y controlar sistemas operativos.
Aunque SAP ya permitía a los usuarios deshabilitar el Invoker Servlet en sus aplicaciones de forma predeterminada, los atacantes aún podían acceder al Invoker Servlet y ejecutar comandos aleatorios en los sistemas SAP después de transmitir paquetes falsificados a sistemas SAP inseguros a través de HTTP o HTTPS para eludir los controles de autenticación.
¿Qué tan grave podría llegar a ser? Por un lado, un atacante puede escalar privilegios para ejecutar comandos arbitrarios en sistemas operativos y usar cualquier navegador web para crear cuentas de usuario de administración en sistemas SAP, incluso sin un ID de usuario y contraseña auténticos de SAP. Sin embargo, SAP parece estar minimizando la falla, ya que su nota de parche reciente indica lo contrario.
Los expertos en seguridad ahora advierten que las aplicaciones Java personalizadas deben revisarse y cualquier comportamiento irregular en esas aplicaciones debe monitorearse, incluso si los usuarios ahora pueden deshabilitar Invoker Servlet. Eso es así porque las aplicaciones Java de SAP personalizadas se pueden utilizar para anular la configuración, según los expertos.
Además, los expertos en seguridad recomiendan que los administradores de los sistemas SAP estén atentos a los parches críticos del sistema a partir de ahora, ya que SAP publica parches periódicamente todos los meses. Lamentan que el incidente destacó cómo los equipos de seguridad de SAP tienen una visibilidad limitada de las vulnerabilidades que persisten en los sistemas SAP.
