Las vulnerabilidades de gravedad crítica en productos de amplio uso como los ERP, son altamente explotados por actores maliciosos por su alto nivel de alcance. SAP se encuentra dentro de estos objetivos, por lo que recientemente dio a conocer la remediación de vulnerabilidades correspondiente a abril de 2023, las cuales presentan correcciones de SAP Diagnostics Agent y a la SAP BusinessObjects Business Intelligence Platform.
Relevancia
El 92% de las empresas en Forbes Global 2000 utilizan las aplicaciones empresariales de SAP para la gestión de la cadena de suministro (SCM), la planificación de recursos empresariales (ERP), la gestión del ciclo de vida del producto (PLM) y la gestión de las relaciones con los clientes (CRM). El 24% de la cuota de mercado global de ERP es de SAP, con 425.000 clientes en 180 países.
Estas características ponen en la mira de los ciberdelincuentes a esta empresa y sus vulnerabilidades, para llegar a otras. Esto vuelve aun más importante y urgente mantener las actualizaciones de seguridad al día para todos los productos asociados a esta marca a la brevedad.
En abril de 2021, los actores de amenazas atacaron vulnerabilidades en los sistemas SAP sin remediar para obtener acceso a las redes corporativas, y en febrero de 2022, la Agencia de Ciberseguridad y Seguridad de la Infraestructura de los Estados Unidos (CISA) instó a remediar un conjunto de vulnerabilidades graves en aplicaciones de SAP para evitar el robo de datos, los ataques de ransomware y la interrupción de procesos y operaciones críticas.
Elementos críticos a remediar
Dentro de las vulnerabilidades expuestas en el boletín de SAP correspondientes a abril se destacan:
- CVE-2023-27267: Debido a la falta de autenticación y a la insuficiente validación de la entrada, el OSCommand Bridge de SAP Diagnostics Agent - versión 720, un atacante con un profundo conocimiento del sistema puede ejecutar scripts en todos los agentes de diagnóstico conectados. Con una explotación exitosa, el atacante puede comprometer por completo la confidencialidad, la integridad y la disponibilidad del sistema.
- CVE-2023-28765: Un atacante con privilegios básicos en SAP BusinessObjects Business Intelligence Platform (Gestión de la promoción) - versiones 420, 430, puede obtener acceso al archivo lcmbiar y descifrar aún más el archivo. Después de que este atacante pueda obtener acceso a las contraseñas del usuario de BI y, dependiendo de los privilegios del usuario de BI, el atacante puede realizar operaciones que pueden comprometer completamente la aplicación.
- CVE-2023-29186: En SAP NetWeaver (BI CONT ADDON) - versiones 707, 737, 747, 757, un atacante puede explotar un defecto de cruce de directorios en un informe para cargar y sobrescribir archivos en el servidor SAP. Los datos no se pueden leer, pero si un atacante remoto tiene suficientes privilegios (administrativos), los archivos potencialmente críticos del sistema operativo se pueden sobrescribir haciendo que el sistema no esté disponible.
Cadenas de ataque
El resto de fallas están consideradas con gravedad baja o media, esto suele quitarlos de la lista de prioridades de remediación de las empresas, pero deben ser atendidos de igual manera para que no sean aprovechadas por los atacantes como parte de cadenas de ataque que les permitirían maximizar el impacto y daño potencial hacia la empresa, como ocurrió entre 2020 y 2021 con muchos intentos de ataque.
Recomendaciones
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a fallas de día cero:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, de forma de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Por otra parte, las principales acciones que se pueden tomar frente a este tipo de vulnerabilidades son:
- Llevar a cabo la aplicación de parches de las vulnerabilidades informados por el fabricante.
Fuentes
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html