Al menos 378.000
usuarios expuestos por un error en SAP NetWeaver desde hace 13 años
Recientemente la
firma de seguridad 'Onapsis', ha descubierto que el 90% de los sistemas SAP se
vieron afectados por una vulnerabilidad que puede ser explotada por un atacante
remotamente y sin necesidad de autenticarse, lo único que debe tener es acceso
a la red del sistema. La vulnerabilidad presente desde 2005 reside en las
configuraciones predeterminadas afecta a cada producto basado en SAP NetWeaver
incluyendo la suite 'S/4 Hana' y 'ERP'.
Cuando registramos
una aplicación este registro se realiza a través del servidor de mensajes(SAP
Message Server) por el puerto 3900 (por defecto).
Visualización del
registro de aplicaciones en SAP
Para que esto se haga
de forma segura el 'SAP Message Server' implementa un mecanismo de control
mediante una lista de control de acceso o 'ACL' para verificar que direcciones
IP pueden registrar una aplicación y cuales no. El parámetro para configurar
esto es 'ms/acl_info' que recibe la ruta a un archivo con un formato
determinado. La configuración por defecto hace que las 'ACL' permitan a
cualquier host con acceso a la red del 'SAP Message Server' pueda registrar un
servidor de aplicaciones en el sistema SAP.
Desde Onapsis no
tienen pruebas de que se haya estado usando esta vulnerabilidad para un ataque,
pero este fallo sin duda es bastante grave y con un gran número de afectados.
Para arreglar esta
vulnerabilidad hay que modificar la configuración de acuerdo a las notas de
seguridad expuestas por el fabricante para restringir el acceso.
Más información:
- https://launchpad.support.sap.com/#/notes/821875
- https://launchpad.support.sap.com/#/notes/1408081
- https://launchpad.support.sap.com/#/notes/1421005
Fuente: Hispasec