Vulnerabilidades en SAP: el eslabón más débil

Durante esta semana los equipos de Laboratorio e Investigación de ESET Latinoamérica estamos participando del evento de seguridad informática más importante de Latinoamérica, la ekoparty Conference. Además de estar presentes dictando algunos trainings, workshop, de proponer un reto bastante intersante y comer muchos pochoclos, hemos tenido la oportunidad de asistir a las diferentes conferencias.

La primera charla del segundo día “Inception of the SAP Plataform’s brain: Attacks to SAP Solution Manager”, a cargo de Juan Perez Etchegoyen de la empresa Onapsis, planteó unas vulnerabilidades bastantes importantes y que de no ser atendidas pueden significar riesgos graves para la seguridad de la información de las empresas que utilizan esta popular plataforma.

Antes de describir las vulnerabilidades que fueron mencionadas durante la charla, vale la pena contextualizar la relevancia que tienen las vulnerabilidades de SAP. Muchas empresas importantes a nivel mundial, las grandes organizaciones gubernamentales, y las entidades de defensa, comparten algo en común: todas ellas dependen de plataformas SAP para manejar sus negocios más críticos y su caudal de información. En esta plataforma se manejan soluciones de BI, ERP, CRM, SCM y muchos más que dan soporte a procesos de negocio como tesorería, contabilidad, pagos, logística, ventas, producción y recursos humanos, es decir, los procesos críticos de la operación de cualquier empresa.

Una de las características de esta plataforma es que todas las implementaciones se encuentran interconectadas entre sí a través de un punto central de administración que es el módulo Solution Manager (utilizado entre otras cosas para aplicar parches, crear y eliminar usuarios con cualquier tipo de perfil en cualquiera de las aplicaciones instaladas). Además, una particularidad de este módulo es que por ser una herramienta de administración no suele entrar en las auditorías de seguridad que se enfocan solamente en las aplicaciones de la parte productiva; pero lo delicado es que si se compromete este componente, podrían verse afectados todos los aplicativos instalados en la empresa. Un dato bastante preocupante arroja que cerca del 95% los sistemas SAP evaluados por Onapsis en Latinoamérica están expuestos.

Las vulnerabilidades más explotadas por ser las que más comúnmente se encuentran expuestas tienen que ver con perfiles de usuarios estándar con contraseñas por defecto, el gateway que es el componente que conecta todos los módulos de la solución SAP en modo no seguro, autenticaciones no seguras entre SAP y la base de datos y el uso de conexiones creadas por el asistente de instalación que por defecto pueden conectarse al Solution Manager, y una vez el atacante ingresa a este módulo puede ir a cualquier aplicación aprovechando la relación de confianza de este módulo con las demás. En pocas palabras las vulnerabilidades para atacar la plataforma SAP se aprovechan de las conexiones y aplicaciones más débiles, como por ejemplo los entornos de desarrollo para llegar a los sistemas más seguros y que manejan información más importante.

Todas estas características convierten a esta plataforma en un escenario con muchas potencialidades para ser atacado por ciberdelincuentes que con la información que se maneja pueden potenciar ataques de espionaje, sabotaje y fraude, incluso al manejar toda la información sensible del negocio el tipo de ataque se puede ver limitado solo por la creatividad del atacante, pudiendo llegar a crear falsos empleados en la nómina para cobrar sueldos, parar la producción o el sistema de distribución de una empresa, crear proveedores falsos para cobrar por servicios o incluso desviar mercancías hacia lugares que el atacante decida.

Ante este tipo de amenazas para una empresa, y dado el alcance que pueden llegar a tener es que se vuelve imprescindible contar con soluciones de protección contra códigos maliciosos, soluciones de firewall, mantener correctamente configurados las aplicaciones y restringidos los niveles de permisos de usuarios, no utilizar perfiles por defecto para la gestión de la plataforma y en general tener buenas prácticas que garanticen la seguridad de la información.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Autor , ESET

Síguenos