Las vulnerabilidades de SAP más atacadas por los ciberdelincuentes

Las vulnerabilidades no parcheadas, los errores de configuración habituales y los fallos ocultos en el código personalizado siguen haciendo de las aplicaciones SAP empresariales un entorno rico en objetivos para los atacantes, en un momento en el que amenazas como el ransomware y el robo de credenciales han surgido como grandes preocupaciones para las organizaciones.

Un estudio que Onapsis llevó a cabo el año pasado, en colaboración con SAP, descubrió que los atacantes se centran continuamente en las vulnerabilidades de una amplia gama de aplicaciones SAP, como el ERP, la gestión de la cadena de suministro, la gestión del ciclo de vida del producto y la gestión de las relaciones con los clientes. El escaneo activo de los puertos de SAP ha aumentado desde 2020 entre los atacantes que buscan explotar las vulnerabilidades conocidas, particularmente un puñado de CVE altamente críticos.

El estudio mostró que los atacantes a menudo tienen código proof-of-concept para las vulnerabilidades recientemente divulgadas tan solo 24 horas después de la divulgación inicial, además de exploits completamente funcionales para ellos en menos de tres días. Onapsis observó que los atacantes encontraban y atacaban nuevos sistemas SAP alojados en la nube en apenas tres horas.

Sin embargo, muchas organizaciones siguen dejando las aplicaciones SAP sin parchear o no aplican las actualizaciones recomendadas durante meses -y a veces incluso años- debido a la preocupación por la interrupción del negocio y las roturas de las aplicaciones. Un informe patrocinado por Pathlock a principios de este año, que se basaba en una encuesta realizada a 346 miembros de la comunidad de usuarios de SAPinsider, mostraba que el 47% de los encuestados calificaba la aplicación de parches como su mayor reto, solo por detrás de la detección de amenazas.

"Con un total de 1.143 vulnerabilidades conocidas de SAP, las organizaciones siguen luchando por priorizar cuál de ellas presenta el mayor riesgo para su entorno específico", afirma Piyush Pandey, CEO de Pathlock. "Debe haber un cambio de mentalidad para tener en cuenta los niveles de riesgo que permitan mitigar inmediatamente las amenazas más acuciantes", afirma.

La seguridad del código personalizado se situó como la siguiente mayor preocupación después de los parches, con un 40% que lo identificó como un problema. La encuesta de Pathlock descubrió que muchas organizaciones tienen docenas o incluso cientos de sistemas SAP en funcionamiento, lo que dificulta la aplicación de parches y consume mucho tiempo, especialmente porque intentan evitar interrupciones y roturas de aplicaciones.

Esta tendencia ha dejado a muchas organizaciones expuestas a ataques que podrían dar lugar a robos de datos, fraudes financieros, interrupciones de aplicaciones de misión crítica, cortes del sistema y otras consecuencias negativas. "Los sistemas SAP son objetivos de alto valor para los hackers, ya que son el núcleo de las operaciones empresariales de misión crítica y contienen grandes cantidades de datos sensibles y confidenciales", afirma Saeed Abbasi, ingeniero principal de seguridad de Qualys. "Los ataques exitosos pueden provocar un impacto y una interrupción devastadores".

Estas son las vulnerabilidades más comúnmente atacadas en entornos de aplicaciones SAP.

Vulnerabilidades de SAP sin parchear

Al igual que todos los proveedores de software, SAP publica actualizaciones periódicas para abordar nuevas vulnerabilidades y otros riesgos de seguridad en sus aplicaciones. En lo que va del año, SAP ha divulgado 196 SAP Security Notes que contienen este tipo de actualizaciones, lo que ya supera el total de 185 que la empresa divulgó en todo el año pasado. Al menos una parte del aumento parece tener que ver con un número mayor de lo habitual de parches que SAP tuvo que publicar en enero debido a la vulnerabilidad Log4Shell en el framework de registro de Apache Log4j.

Muchas de estas vulnerabilidades son críticas y permiten a los atacantes hacer varias cosas, como obtener acceso a nivel de la aplicación o del sistema operativo, escalar privilegios o ejecutar un compromiso entre sistemas, mostró el estudio.

"Basta con abrir cualquier base de datos de vulnerabilidades para ver más de 50 vulnerabilidades recientes de SAP con una puntuación CVSS superior a 9", afirma Ivan Mans, CTO y cofundador de SecurityBridge. En lo que va del año, ha habido 17 notas críticas de SAP con una gravedad superior a 9,8, que se acerca a la calificación máxima de 10, dice. "Lo que suponíamos que era seguro el año pasado puede dejar de serlo hoy".

Onapsis y SAP encontraron seis de las vulnerabilidades a las que los atacantes han apuntado fuertemente en los últimos años: CVE-2020-6287; CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 y CVE-2010-5326. Todos tienen exploits disponibles públicamente, normalmente en GitHub.

JP Pérez-Etchegoyen, CTO de Onapsis, clasificó dos de las vulnerabilidades de esa lista entre las tres más críticas de las aplicaciones SAP: CVE-2020-6287 y CVE-2010-5326. Otra vulnerabilidad que considera muy crítica es una que SAP reveló este año: CVE-2022-22536.

• CVE-2020-6287, también conocido como RECON, es una vulnerabilidad crítica en SAP NetWeaver Application Server Java que permite a un atacante remoto no autentificado tomar el control completo de las aplicaciones SAP afectadas. La amenaza que supone el fallo -que permite al atacante crear una cuenta administrativa con los máximos privilegios- llevó a CISA a emitir un aviso recomendando "encarecidamente" la aplicación inmediata de parches, cuando SAP reveló por primera vez el fallo.
• CVE-2010-5326 es una vulnerabilidad en la función Invoker Servlet del SAP NetWeaver Application Server, revelada por primera vez (y parcheada) en 2010. El fallo permite a los actores de la amenaza no autentificados ejecutar comandos a nivel del sistema operativo y tomar el control de las aplicaciones y la base de datos subyacente. SAP parcheó la vulnerabilidad en 2010, pero la actividad de explotación dirigida al fallo continúa incluso ahora porque muchos sistemas siguen sin parchear contra la amenaza.
• CVE-2022-22536 o el defecto ICMAD es una vulnerabilidad crítica de contrabando y concatenación de solicitudes en SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java y otros productos. Permite a un atacante remoto no autentificado tomar el control completo de los sistemas afectados.

De las cuatro vulnerabilidades restantes:

• CVE-2018-2380 es una vulnerabilidad de validación insuficiente de gravedad media en múltiples versiones de SAP CRM que los atacantes están utilizando activamente para dejar caer shells web de SAP para inyecciones de comandos del sistema operativo.
• CVE-2020-6207 es una falla relacionada con la autenticación que los atacantes están utilizando en compromisos entre sistemas.
• CVE-2016-9563 es un fallo de 2016 que afecta a un componente de SAP NetWeaver AS JAVA 7.5. Es una de las vulnerabilidades que los atacantes están encadenando con el fallo RECON para escalar privilegios en el sistema operativo de los servidores SAP.
• CVE-2016-3976 es una vulnerabilidad de cruce de directorios en SAP NetWeaver AS Java 7.1 a 7.5 que los atacantes están utilizando para exfiltrar credenciales de los servidores SAP NetWeaver, entre otras cosas.

"Una buena manera de entender las vulnerabilidades más críticas es medirlas, no sólo por la métrica del Sistema de Puntuación de Vulnerabilidad Común, sino también por el grado de explotación", dice Pérez-Etchegoyen. Para ello, recomienda que las organizaciones hagan un seguimiento del Catálogo de Vulnerabilidades Explotadas Conocidas de CISA. Actualmente, diez vulnerabilidades que afectan a SAP están en ese catálogo. "Todas esas diez han sido y están siendo explotadas para comprometer las aplicaciones SAP", afirma.

Errores de configuración de SAP

Las miles de formas diferentes en las que se pueden configurar las aplicaciones SAP -y cambiarlas para cumplir con nuevos requisitos- a menudo hacen que las organizaciones configuren sus entornos SAP de forma vulnerable. La diferencia entre los problemas de seguridad relacionados con un parche y con una configuración es que, en la mayoría de los casos, cuando se aplica un parche el riesgo desaparece, afirma Pérez-Etchegoyen. Las configuraciones, por el contrario, cambian constantemente, afirma.

Los problemas de configuración de SAP más comunes son las listas de control de acceso (ACL) mal configuradas y el uso de combinaciones de nombre de usuario y contraseñas débiles, predeterminadas o conocidas.

Mans, de SecurityBridge, también señala que cuestiones como las tecnologías SAPRouter, SAP Web Dispatcher, Internet Communication Manager y SAP Gateway, obsoletas o mal configuradas, presentan problemas para las organizaciones empresariales. Otros problemas relacionados con la configuración son los servicios expuestos públicamente a los que se puede acceder sin necesidad de autenticación, el acceso no protegido o insuficientemente protegido a los servicios de administración y la comunicación no cifrada.

El estudio de Onapsis/SAP mostró que, aunque SAP ha proporcionado una guía detallada sobre cómo proteger el acceso a las cuentas privilegiadas, muchas organizaciones están ejecutando aplicaciones SAP en las que las cuentas altamente privilegiadas están configuradas con contraseñas predeterminadas o débiles. El estudio descubrió que los atacantes utilizan con frecuencia ataques de fuerza bruta para entrar en las cuentas SAP, SAPCPIC, TMSADM y CTB_ADMIN.

Un conjunto de exploits denominados colectivamente como 10KBlaze que se hizo público en 2019, mostró el riesgo al que se enfrentan las organizaciones debido a las configuraciones inseguras. Los exploits se dirigieron a configuraciones erróneas comunes en SAP Gateway y SAP Message Server y pusieron un estimado del 90% de las aplicaciones SAP en más de 50.000 organizaciones en todo el mundo en riesgo de compromiso completo. 

Vulnerabilidades en el código SAP personalizado

Muchas organizaciones desarrollan habitualmente un extenso código personalizado para sus aplicaciones SAP con el fin de personalizarlas o cumplir con los requisitos de conformidad, además de otras razones. "Las organizaciones suelen personalizar SAP para satisfacer necesidades empresariales específicas", afirma Pandey, de Pathlock. "Los ejemplos incluyen diseños y tablas personalizadas". Este código personalizado debe ser revisado periódicamente en busca de fallos que puedan exponer el sistema SAP a ataques o usos indebidos, dice.

Pérez-Etchegoyen señala que algunos de los más críticos son los fallos de inyección en los comandos ABAP, los comandos del sistema operativo y la utilidad OSQL, ya que implican un compromiso total del sistema. "Hay muchos otros que también podrían ser abusados para causar un impacto significativo en el negocio, pero en general los defectos de inyección tienden a conducir a un impacto más crítico", dice.

SAP también identifica otros problemas que pueden introducirse en el código personalizado y poner en peligro las aplicaciones SAP. Entre ellos se encuentran los posibles problemas de redireccionamiento de URL, la falta de comprobación del contenido durante las cargas HTTP, el acceso de lectura a datos sensibles y el acceso de escritura a datos sensibles en las bases de datos.

Las vulnerabilidades en el código de fuente abierta y de terceros que un equipo de desarrollo puede utilizar al escribir el código personalizado son otro problema. Como ejemplo, Mans señala la vulnerabilidad Log4Shell en Log4j. "Aunque no sea inmediatamente una vulnerabilidad de SAP, las aplicaciones de SAP o las aplicaciones personalizadas que se ejecutan en SAP pueden verse afectadas y requerir una actualización", afirma.

La conclusión es que las vulnerabilidades de seguridad en SAP pueden adoptar muchas formas, dice Pandey. "Se producen en el lado del proveedor, pero también hay una responsabilidad del propio cliente para asegurarse de que ha configurado y personalizado el despliegue para permitir la seguridad".

Las organizaciones deben entender que los riesgos para el entorno SAP pueden provenir tanto de actores externos como de personas internas, dice Pérez-Etchegoyen. "Hay múltiples riesgos críticos en cada área y la principal diferencia entre ellos es que las vulnerabilidades en el software y en las configuraciones son bien conocidas por los actores de la amenaza y actualmente están siendo utilizadas para comprometer las aplicaciones SAP por actores externos de la amenaza".

"Por otro lado, las vulnerabilidades en el código personalizado, si bien son súper críticas y aparecen en volúmenes mucho mayores que las otras dos, suelen ser un riesgo más expuesto a la amenaza interna, ya que suelen ser explotables con un usuario y un cierto nivel de acceso", advierte Pérez-Etchegoven.