SAP es una de las empresas más importantes del mundo en la producción de software para gestión de procesos de negocio. Generalmente, se habla de SAP por su Sistema de Gestión Empresarial o ERP, el cual ofrece de manera integrada todas las áreas funcionales de la empresa. Aunque la compañía cuenta con otras herramientas dirigidas al ámbito B2B y, sobre todo, a las pequeñas y medianas empresas.
Actualmente, controlar de este sistema está bastante bien pagado, con los consultores en SAP muy bien cotizados.
Desde la web CSO Online han realizado un repaso por los problemas de seguridad de SAP más comunes que los atacantes intentan explotar. Las vulnerabilidades sin parches, las configuraciones erróneas comunes y las fallas ocultas en el código personalizado serían algunas de ellas.
Lo cierto es que muchas organizaciones dejan las aplicaciones de SAP sin parchear o no aplican las actualizaciones recomendadas durante meses y en ocasiones durante años.
"Con un total de 1.143 vulnerabilidades de SAP conocidas, las organizaciones continúan luchando para priorizar cuál de ellas presenta el mayor riesgo para su entorno específico", dice Piyush Pandey, CEO de Pathlock. “Debe haber un cambio de mentalidad para tener en cuenta los niveles de riesgo que permitan la mitigación inmediata de las amenazas más apremiantes”, señala.
Una encuestra de Pathlock ha encontrado que muchas organizaciones cuentan con docenas o incluso cientos de sistemas SAP, lo que hace que la aplicación de parches sea difícil y consuma mucho tiempo, especialmente porque están tratando de evitar interrupciones y roturas de apps.
Un estudio que Onapsis llevó a cabo el año pasado en colaboración con la propia SAP encontró que los atacantes atacan continuamente las vulnerabilidades en una amplia gama de aplicaciones SAP, incluido el ERP, la gestión de la cadena de suministro, la gestión del ciclo de vida del producto y la gestión de las relaciones con los clientes.
El estudio puso de manifiesto que, a menudo, los atacantes tienen un código de prueba de concepto para vulnerabilidades recientemente reveladas en tan solo 24 horas después de la revelación inicial. Y pueden realizar hazañas completamente funcionales para ellos en menos de tres días. Onapsis observó a los atacantes encontrar y atacar nuevos sistemas SAP alojados en la nube en apenas tres horas.
Vulnerabilidades SAP sin parchear
SAP publica actualizaciones periódicas para abordar nuevas vulnerabilidades y otros riesgos de seguridad en sus aplicaciones. En lo que va del año, SAP ha publicado 196 notas de seguridad que contienen tales actualizaciones, que ya es más que el total de 185 que la empresa reveló todo el año pasado. Al menos parte del aumento parece tener que ver con una cantidad mayor a la habitual de parches que SAP tuvo que emitir en enero debido a la vulnerabilidad de Log4Shell en el marco de registro de Apache Log4j.
Muchas de estas vulnerabilidades son críticas y abren la puerta a los atacantes para que puedan hacer varias cosas, como obtener acceso a la aplicación o al nivel del sistema operativo, escalar privilegios o ejecutar compromisos entre sistemas.
"Simplemente abre cualquier base de datos de vulnerabilidades y verás más de 50 vulnerabilidades recientes de SAP con una puntuación CVSS superior a 9", comenta Ivan Mans, CTO y cofundador de SecurityBridge. En lo que va del año, ha habido 17 Notas SAP críticas con una gravedad superior a 9,8, que está cerca de la calificación máxima de 10, dice.
JP Perez-Etchegoyen, CTO de Onapsis, asegura que una buena manera de comprender las vulnerabilidades más críticas es medirlas, no solo por el sistema de puntuación de vulnerabilidades comunes, sino también por qué grado de explotación tienen.
Errores de configuración
Los problemas de SAP de esta clase más comunes incluyen listas de control de acceso (ACL) mal configuradas y el uso de combinaciones de nombre de usuario y contraseña débiles, predeterminadas o conocidas.
Como las aplicaciones de SAP se pueden configurar de tantas maneras distintas y cambiarse para cumplir con los nuevos requisitos, esto con frecuencia da como resultado que las organizaciones configuren sus entornos SAP de manera vulnerable.
Vulnerabilidades en código SAP personalizado
"Las organizaciones a menudo personalizan SAP para satisfacer necesidades comerciales específicas", explica Pandey de Pathlock. "Los ejemplos incluyen diseños y tablas personalizados". Este código personalizado debe revisarse regularmente en busca de fallas que puedan exponer el sistema SAP a ataques o uso indebido, señala el responsable.
SAP también identifica otros problemas que pueden infiltrarse en el código personalizado y poner en riesgo sus aplicaciones. Estos incluyen posibles problemas de redireccionamiento de URL, verificación de contenido faltante durante las cargas HTTP, acceso de lectura a datos confidenciales y acceso de escritura a datos confidenciales en bases de datos.
La principal conclusión de todo esto es que las vulnerabilidades de seguridad en SAP pueden tomar muchas formas, subraya Pandey. "Ocurren del lado del proveedor, pero también existe la responsabilidad del propio cliente de asegurarse de haber configurado y personalizado la implementación para habilitar la seguridad", concluye.