Se
ha anunciado una vulnerabilidad en SAP NetWeaver que podría permitir a
atacantes remotos modificar la información de los sistemas SAP e incluso llegar
a comprometer toda la información de la compañía.
NetWeaver es una plataforma compuesta por
todas las aplicaciones SAP con objeto de lograr una mejor integración entre
dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad,
aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es
ampliamente utilizado en el mundo empresarial.
Detalle de la vulnerabilidad
- El problema reside en el componente System Landscape Directory o SLD (incluido en todos los SAP JAVA Application Servers). SLD actúa como repositorio central de información de las aplicaciones.
- El mecanismo empleado para añadir nuevos sistemas al SLD no está adecuadamente asegurado por defecto, lo que puede dar lugar a que un atacante remoto sin autenticar pueda interactuar con el SLD y por el diseño de su arquitectura, podría llegar al compromiso total del sistema.
- SAP ha publicado la SAP Note 1939334 para proporcionar versiones actualizadas de los componentes afectados. Los parches pueden descargarse desde https://service.sap.com/sap/support/notes/1939334
- [Onapsis Security Advisory 2014-020] SAP SLD Information
Tampering http://seclists.org/fulldisclosure/2014/Jun/37