Cuando está en el negocio de manejar las aplicaciones empresariales críticas de grandes empresas públicas, cualquier instancia de vulnerabilidades de seguridad debería hacer que responda rápidamente. Todo lo contrario para SAP.
Los investigadores de seguridad de Onapsis descubrieron más de una docena de fallas de seguridad en los servicios de la plataforma de administración de bases de datos en memoria de SAP HANA que procesan aplicaciones para empresas. Sin embargo, la buena noticia es que SAP ya ha parcheado estas vulnerabilidades y ha emitido una guía para los problemas de configuración que se encuentran en la plataforma.
Sin embargo, Onapsis lamentó que SAP no prestó atención a estas vulnerabilidades, que aumentaron en número durante el año pasado, como lo demuestran varios informes sobre las aplicaciones comerciales afectadas. SAP HANA impulsa las herramientas que utilizan las empresas Fortune 2000 para administrar datos científicos y activos críticos.
En otras palabras, los problemas críticos en SAP HANA carecen de la atención necesaria para abordarlos. Onapsis dijo que habían faltado muchas medidas de seguridad y que incluso las personas y los equipos que deberían prestar atención a estos problemas no estaban suficientemente preocupados por las vulnerabilidades descubiertas durante mucho tiempo que afectan a esta plataforma.
Lo más probable es que si estas herramientas se dejan desatendidas debido a la amplia distribución de funciones, los ciberdelincuentes y los piratas informáticos patrocinados por el estado encontrarán una forma de piratear estos sistemas para una variedad de propósitos.
Más específicamente, algunas de las fallas de seguridad críticas involucran la interfaz administrativa TrexNet que se encuentra en la instalación de SAP HANA y que es responsable de otorgar la aprobación de ejecución para varias operaciones comerciales. Debido a la configuración predeterminada en las interfaces, algunas funciones comerciales están potencialmente expuestas a ataques ejecutados de forma remota.
El problema se soluciona mediante una nueva configuración. Si se exponen estas funciones, los atacantes podrán obtener una vista completa de los datos empresariales de una empresa y manipularlos para sus propios beneficios.
Onapsis aconseja a los usuarios que instalarían SAP HANA por primera vez que configuren los parámetros para cerrar las interfaces, que están abiertas por defecto. Además, la comunicación para varios servidores debe realizarse en una red privada.
Afortunadamente para los clientes de SAP HANA, ya se han solucionado varios daños en la memoria y fallas basadas en SQL, lo que evita que se produzcan ataques de denegación de servicio y ejecución remota de código. Además, no ha habido exploits conocidos en la naturaleza hasta este momento, por lo que todos los que usan la plataforma están relativamente seguros como mínimo.
Si bien se han reparado las vulnerabilidades críticas, los investigadores de seguridad se comprometen a continuar con su estudio de las aplicaciones para encontrar, si es que alguna vez, más fallas con el fin de abordarlas.
