Múltiples vulnerabilidades en productos SAP
- SAP S/4HANA®
- SAP Enterprise Resource Planning (ERP)
- SAP Product Lifecycle Management (PLM)
- AP Customer Relationship Management (CRM)
- SAP Human Capital Management (HCM)
- SAP Supply Chain Management (SCM)
- SAP Supplier Relationship Management (SRM)
- SAP NetWeaver® Business Warehouse (BW)
- SAP Business Intelligence (BI)
- SAP Process Integration (PI)
- SAP Governance
- SAP Solution Manager (SolMan)
- Risk & Compliance 10.x (GRC)
- SAP NetWeaver ABAP® Application Server 7.0 - 7.52
Durante la OPCDE Security Conference celebrada en Dubai, en abril de 2019, se han hecho públicas varias vulnerabilidades asociadas a errores de configuración y de severidad crítica denominadas 10KBLAZE. Estas vulnerabilidades podrían comprometer a diversas aplicaciones SAP incluyendo la eliminación de todos los datos de aplicación de negocio, modificación o extracción de información sensible.
Las vulnerabilidades ya fueron detectadas y parcheadas por SAP en 2005, 2009 y 2019; pero debido al conocimiento de estos errores de configuración, a la posibilidad de su explotación activa, y a su criticidad se recomienda seguir las recomendaciones de SAP a la hora de realizar las instalaciones y configuraciones de los sistemas.
- Aplique las notas de seguridad de SAP: #821875 (2005), #1408081 (2009) y #1421005 (2010). Los clientes de SAP pueden acceder al contenido de las notas a través del portal de soporte de SAP (se necesita autenticación).
- Implementar las funciones de detección en cortafuegos y dispositivos IPS/IDS con las reglas de firma de Snort. Se han hecho públicas las firmas a proveedores de cortafuegos reconocidos como Cisco, FireEye y Palo Alto.
- Las vulnerabilidades expuestas son debidas a fallos de configuración administrativa en instalaciones SAP Netweaver, si estas no se han realizado con las recomendaciones proporcionadas por SAP.
- Se recomienda tomar medidas con la mayor urgencia posible, ya que estos fallos de configuración son conocidos públicamente y podrían estar siendo empleados activamente.