Una vulnerabilidad en la cadena de suministro permite manipular el sistema de transporte de SAP

Un proveedor de ciberseguridad con sede en Alemania ha identificado una vulnerabilidad en el sistema de transporte de SAP, que permite a los atacantes infiltrarse en la gestión de cambios o en el proceso de despliegue de software. SAP SE ha publicado un parche para solucionar el problema que amenaza a todos los entornos SAP que comparten un mismo directorio de transporte.

El sistema de transporte de SAP es vulnerable a interferencias maliciosas

Los productos de software de SAP son utilizados por empresas de todo el mundo, muchas de las cuales proporcionan infraestructuras críticas, alimentos, energía y suministros médicos. La cadena de suministro de desarrollo interno de SAP se utiliza para solicitar funcionalidades adicionales y desarrollos internos al estándar de SAP, con cambios proporcionados a través de varios sistemas de puesta en escena del respectivo entorno de SAP, con solicitudes de transporte de SAP. Estas solicitudes no deben ser modificadas después de haber sido exportadas desde el directorio central de transporte y liberadas.

Sin embargo, en octubre de 2021, SecurityBridge identificó un método que permitía a los atacantes internos sin autorizaciones privilegiadas infiltrarse en el proceso de gestión de cambios o de despliegue de software de SAP sin ser detectados. "Después de la exportación, y antes de la importación en el sistema de producción, los actores de la amenaza tienen una ventana de tiempo para incluir objetos maliciosos. Un empleado sin escrúpulos con las autorizaciones adecuadas tiene la capacidad de cambiar el estado de liberación de 'liberado' a 'modificable'", según explica SecurityBridge en una entrada de su blog.

Esto permite alterar las solicitudes de transporte a pesar de haber pasado ya las puertas de calidad en el proceso de gestión de cambios. "Los atacantes pueden introducir código malicioso en la etapa de desarrollo de SAP, sin ser vistos, incluso en las solicitudes que ya han sido importadas a la etapa de prueba", añade SecurityBridge. Los atacantes pueden entonces alterar el contenido de la solicitud de transporte, justo antes de su promoción a la producción, lo que puede conducir a la ejecución de código. "Este tipo de ataques son muy eficaces, y todos los entornos SAP son vulnerables, si los distintos niveles de puesta en escena de SAP comparten un mismo directorio de transporte".

Cómo abordar la vulnerabilidad del sistema de gestión del transporte de SAP 

Las organizaciones que utilizan productos de software de SAP deben aplicar el parche que corrige la vulnerabilidad (CVE-2021-38178), tal y como publicó SAP en el aviso de seguridad SNOTE 3097887. Esto protege el sistema de archivos de la manipulación. Los clientes de SAP también deberían comprobar si su registro de transporte ha sido manipulado antes de la importación a producción, tal y como explican en SecurityBridge, porque "en él se hace visible el método de ataque descrito".

"Aunque la vulnerabilidad del sistema de transporte de SAP debe tomarse en serio, no hemos identificado ninguna campaña de explotación activa y, afortunadamente, SAP ya tiene un parche disponible", afirma Roy Horev, CTO de Vulcan Cyber. Se necesitaría un conjunto de circunstancias muy improbables para que los malos actores construyeran una amenaza persistente avanzada, que aprovechara los numerosos vectores de ataque necesarios para aprovechar esta vulnerabilidad de SAP. "Sin embargo,  —añade— las APTs ocurren... sólo hay que preguntar a SolarWinds. Cuantos más vectores de ataque puedan asegurar o eliminar los equipos cibernéticos, mejor protegeremos nuestro negocio digital. La única forma en que la industria de la ciberseguridad podrá reducir una acumulación cada vez más preocupante de deuda cibernética será a través de un enfoque basado en el riesgo, para la priorización de la vulnerabilidad, y un enfoque bien orquestado para la mitigación del riesgo".