Vulnerabilidades críticas en SAP obliga a realizar actualizaciones de emergencia

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto sucede principalmente debido a que SAP utiliza de manera nativa una versión vulnerable de Log4J, específicamente aquella que es vulnerable a la ejecución de código remoto debido al mal manejo del interpretador JDNI (CVE-2021-44228 o Log4Shell).

* CVE-2021-44228 de severidad crítica, con una puntuación CVSS3 de 10. Esta se debe a un fallo en las características de configuración JDNI, el cual no valida los parámetros de entrada de los mensajes o parámetros de los logs. Esto permitiría a un atacante acceder a permisos de configuración y control de los logs con el objetivo de realizar ejecución remota de código (RCE) en el sistema afectado.

* CVE-2022-24396 de severidad crítica, con una puntuación CVSS3 de 9.3. Esta vulnerabilidad se debe a un fallo en el componente de diagnóstico que permitiría a un atacante autenticado con mínimos privilegios realizar un escalamiento de privilegios u obtener información sensible.

* CVE-2022-26101 de severidad alta, con una puntuación CVSS3 de 8.2. Esta vulnerabilidad se debe a una falla en un componente desconocido el cual no valida los datos de entrada del usuario. Esto permitiría a un atacante enviar peticiones maliciosas con el objetivo de ejecutar código JavaScript (XSS).

No confundir que la vulnerabilidad Log4Shell (CVE-2021-44228) sea relativamente antigua, esto no quiere decir que algunos software aun hagan uso de el como es en el caso de SAP, en otras palabras, SAP cuenta con la vulnerabilidad reciente de que incluye este componente vulnerable.

Este riesgo es preocupante debido a que un atacante que logre acceder al servicio de SAP sin la necesidad de autenticarse podría ejecutar comandos dentro del servidor donde se encuentre esta solucón.

Pero, ¿esto quiere decir que si se encuentra dentro de una red local el riesgo disminuye?: la respuesta es si pero no lo suficiente. A lo largo de los años se han habido presedentes de ataques realizados por personal interno en diferentes compañías grandes y pequeñas en Chile y tampoco son casos aislados, este tipo de incidencias ocurren con mayor frecuencia de lo pensado.

Los desastres no curren sin más, son el resultado de una serie de sucedos que conllevan a una incidencia de proporciones mayores que pueden afectar no solamente a la contabilidad de una compañía sino también a posibles problemas legales y de pérdida de imagen corporativa.

Técnicamente hablando un atacante podría realizar una solicitud HTTP al servidor de SAP y enviar un paquete malicioso con código de ejecución, permitiendo al atacante, por ejemplo conectar a la base de datos y modificar información como credenciales de acceso o datos de contabilidad, también podría descargar software malicioso de tipo Troyano y tomar control del servidor o infectar la infraestructura con malware de tipo Ransomware.

Primero que nada esta vulnerabilidad ha sido solucionada hace muy poco, asi que la recomendación es muy clara, se debe actualizar el Software vulnerable lo antes posible para evitar una incidencia mayor.

La actualización de un Sistema no solamente cuenta con cambios a nivel de experiencia de usuario sino también de seguridad, por eso se recomienda mantener los sistemas y aplicaciones siempre actualizados.

Como segunda medida, como esta vulnerabilidad puede ser aprovechada de manera remota, se recomienda realizar un análisis de sistema o forense a la brevedad para determinar sin en la actualidad existió algún ataque que haya podido afectar a los datos confidenciales de los correos almacenados, si este fuese el caso se recomienda activar un procedimiento de seguridad para el cambio de credenciales de manera masiva de los sistemas de la compañía.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta