Inicio / Protege tu empresa / Avisos Seguridad / Graves vulnerabilidades en SAP

Graves vulnerabilidades en SAP

Fecha de publicación: 
13/08/2015
Importancia: 
4 - Alta
Recursos afectados: 
  • SAP Mobile Platform 3.0 SP05 ClientHub
  • SAP NetWeaver 7.4
  • SAP Afaria
  • SAP ST-P
  • SAP NetWeaver AFP Servlet
  • SAP HANA
Descripción: 

El pasado Martes 11 de Agosto fue día mensual de publicación de parches de SAP. Se publicaron un total de 26 notas de seguridad, 4 de ellas sobre parches publicados anteriormente.

Las vulnerabilidades hechas públicas afectan a diferentes tecnologías de SAP como SAP ST-P, SAP HANA, SAP Mobile Platform, SAP Netweaver o SAP Afaria.

Solución: 

Insta a tu equipo técnico a actualizar o parchear todos sus productos de SAP, aplicando los parches publicados en esta actualización.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle: 

De las 26 notas de seguridad publicadas, 15 de de ellas son de riesgo alto, 10 de riesgo medio y 1 de riesgo bajo. 8 hablan sobre vulnerabilidades XSS que podrían permitir a atacantes remotos tomar el control sobre una página web de un servicio SAP, otras 7 permitían divulgación de información privada, 2 permitirían a los atacantes modificar la memoria de los sistemas y otras 2 permitirían acceder a módulos de SAP con permisos inadecuados. Las restantes 7 vulnerabilidades son de otros tipos.

Las vulnerabilidades hechas públicas por la empresa de seguridad de ONAPSIS permitirían a un atacante con acceso a un dispositivo móvil con SAP Mobile vulnerable, obtener las contraseñas y otra información sensible almacenada en éste, permitiéndole de esta manera conectarse con los sistemas de negocio de la empresa.

(Actualización 14 de agosto de 2015)

Dentro de las 26 vulnerabilidades anteriores, hoy se ha publicado por parte de la empresa ERPSCAN más información relativa al grupo de vulnerabilidades que afectan a SAP Mobile Platform, Netweaver y SAP Afaria. Permitirían al atacante acceso a los ficheros y directorios del servidor SAP de la empresa mediante el envío de un fichero especialmente modificado.

Según ERPSCAN, otros analistas han hecho pública más información sobre parte del grupo de vulnerabilidades de las 26 anteriores. En concreto, una que afecta a la plataforma SAP ST-P y permitiría a un atacante ejecutar comandos de forma remota que le podrían permitir acceder a los ficheros y directorios del servidor SAP de la empresa. Otra de las vulnerabilidades afecta a SAP NetWeaver AFP Servlet y permitiría a un atacante obtener el control sobre un ordenador cliente de SAP Netweaver. Además, se han publicado otras dos vulnerabilidades que afectan a SAP HANA y que permitiría a un atacante remoto cerrar la aplicación del servidor de SAP HANA, y la otra que permitiría el acceso sin autenticación al sistema HANA.