Recientemente se han descubierto los errores de software más graves en la plataforma SAP HANA, la base de datos en memoria que sustenta muchos de los productos de la empresa alemana utilizados por grandes compañías. Ocho de estos errores se clasifican como críticos, la calificación de gravedad más alta, ya que los atacantes podrían utilizarlos para eliminar datos, robar información de clientes y estados financieros, o cambiar los datos de precios de los productos.
“Encontramos muchas cosas debajo de la alfombra”, dijo Mariano Núñez, CEO de Onapsis, una empresa de seguridad con sede en Boston que se dedica a proteger los sistemas SAP. Lo sorprendente es que varias de las 21 vulnerabilidades encontradas por Onapsis eran explotables de forma remota, lo que significa que un atacante podría acceder a HANA desde lejos a través de Internet. “El tipo de vulnerabilidades que descubrimos permitiría a cualquier atacante, sin necesidad de un ID de usuario o contraseña, tener control total de cualquier sistema basado en SAP HANA”, dijo Núñez.
Onapsis ha estado estudiando HANA durante algún tiempo y vende una plataforma y un servicio a sus clientes para recibir notificaciones avanzadas de las vulnerabilidades que encuentra y protegerlos de ataques dirigidos. La empresa también trabaja en estrecha colaboración con SAP y ha ayudado a mitigar más de 250 vulnerabilidades de día cero, es decir, fallos para los que no existe un parche.
SAP fue notificado a partir de febrero sobre muchos de los problemas y ha lanzado correcciones de software para solucionarlos. Los representantes de la empresa no respondieron a una solicitud de comentarios.
Desarrollado para competir con Oracle e IBM, HANA funciona con muchas de las aplicaciones de ERP, CRM, cadena de suministro e inteligencia empresarial de SAP. Está diseñado para generar análisis y procesar transacciones mucho más rápido, todo ello en la memoria del servidor. SAP ha hecho un gran esfuerzo para trasladar a sus clientes a HANA, que era uno de los productos de más rápido crecimiento de la empresa. Algunas de las empresas que utilizan HANA incluyen T-Mobile, Palo Alto Networks, Airbus, Dell, Adidas, EMC, la National Hockey League y Marathon Oil.
Los errores de software podrían llevar a una devastadora violación de datos, algo que las empresas están cada vez más interesadas en evitar debido a los problemas de alto perfil que han afectado a compañías como TalkTalk, Target y el sitio web de citas extramatrimoniales Ashley Madison de Avid Life Media. Sin embargo, no todos los hackers terminan publicando los datos y algunos tienen otras motivaciones. Algunos de los errores podrían ser utilizados simplemente para apagar el sistema o hacerlo inaccesible. Este tipo de ataque, aunque puede ser menos embarazoso públicamente, podría ser utilizado para perjudicar a un competidor.
Si bien algunos de los problemas requieren parches, otros requieren cambios de configuración, según Onapsis. Algunos servidores SAP utilizan un protocolo de comunicación llamado TREXNet. Onapsis recomendó que los administradores se aseguren de que la comunicación TREXNet esté aislada de los usuarios finales y utilice cifrado y autenticación a nivel de transporte. También recomendó que se monitoree el tráfico HTTP y SQL en busca de actividades extrañas, ya que tanto los usuarios legítimos como los atacantes podrían intentar conectarse a componentes vulnerables.
