Recientemente, se han descubierto ocho vulnerabilidades en los productos de SAP que pueden tener graves consecuencias para los sistemas vulnerables. Estos fallos de seguridad han sido encontrados en diversas soluciones de SAP, como el desarrollo de Web Dynpro Island, utilizado para crear aplicaciones web de SAP, la herramienta de autorización del Marco de Aplicaciones Compuestas de SAP y el Portal Empresarial de SAP. Estos productos, tan populares en todo el mundo, podrían representar un peligro potencial para las empresas que los utilizan.
Uno de los fallos más graves, causado por la falta de validación XML, se encontró en Web Dynpro Flash Island. Este fallo permitía a los hackers llevar a cabo un ataque de Entidad Externa XML (XXE) sin necesidad de autenticación, obteniendo así archivos locales en el servidor de SAP, como claves de encriptación privadas y otros datos críticos para el negocio. Además, esta vulnerabilidad también podría ser utilizada para llevar a cabo un ataque de denegación de servicio (DoS) y dejar el servidor fuera de línea.
Otra vulnerabilidad fue descubierta en el Portal Empresarial de SAP. La falta de validación XML permitía a los atacantes obtener archivos locales en el servidor de SAP, lo que podría resultar en el robo de información, incluyendo claves de encriptación privadas, hashes de contraseñas del sistema operativo y datos corporativos sensibles. Los investigadores señalan que “los atacantes fuera de la red local no podrían acceder a la red del sistema operativo y la base de datos, pero podrían intentar utilizar estas credenciales para hackear cuentas en otros servicios abiertos o llevar a cabo un ataque de denegación de servicio distribuido (DDoS)”.
También se descubrió una vulnerabilidad de XSS (Cross-Site Scripting) en el servicio de estilos del Portal Empresarial de SAP, así como otro fallo de XSS en la aplicación de Monitoreo de SAP NetWeaver. Además, el equipo de seguridad encontró una falla de divulgación de información en la solución de Gestión de Procesos Empresariales (BPM) de SAP NetWeaver, que las empresas utilizan para componer conjuntamente procesos ejecutables utilizando una notación estandarizada. La misma falta de validación XML se encontró en la herramienta de autorización del Marco de Aplicaciones Compuestas de SAP, y otras dos vulnerabilidades estaban presentes en la interfaz de configuración de Servicios Web de SAP NetWeaver.
Estas vulnerabilidades resaltan la importancia de mantener actualizados los sistemas y aplicaciones utilizados por las empresas. Es fundamental que las organizaciones implementen medidas de seguridad adecuadas y estén al tanto de las actualizaciones y parches proporcionados por los proveedores de software. Además, es esencial contar con profesionales de seguridad capacitados que puedan identificar y mitigar posibles riesgos.
La seguridad de los sistemas de información es un aspecto crítico para cualquier empresa en la era digital. La detección temprana y la respuesta rápida a las vulnerabilidades son fundamentales para proteger los activos y la reputación de una organización. SAP y otras empresas de software deben trabajar en estrecha colaboración con la comunidad de seguridad para garantizar que sus productos sean seguros y confiables.
