martes, 1 de mayo de 2018

El 90% de los clientes de SAP expuestos por un error en la configuración predeterminada de los productos basados en NetWeaver

Al menos 378.000 usuarios expuestos por un error en SAP NetWeaver desde hace 13 años



Recientemente la firma de seguridad 'Onapsis', ha descubierto que el 90% de los sistemas SAP se vieron afectados por una vulnerabilidad que puede ser explotada por un atacante remotamente y sin necesidad de autenticarse, lo único que debe tener es acceso a la red del sistema. La vulnerabilidad presente desde 2005 reside en las configuraciones predeterminadas afecta a cada producto basado en SAP NetWeaver incluyendo la suite 'S/4 Hana' y 'ERP'

Cuando registramos una aplicación este registro se realiza a través del servidor de mensajes(SAP Message Server) por el puerto 3900 (por defecto).

Visualización del registro de aplicaciones en SAP

Para que esto se haga de forma segura el 'SAP Message Server' implementa un mecanismo de control mediante una lista de control de acceso o 'ACL' para verificar que direcciones IP pueden registrar una aplicación y cuales no. El parámetro para configurar esto es 'ms/acl_info' que recibe la ruta a un archivo con un formato determinado. 
La configuración por defecto hace que las 'ACL' permitan a cualquier host con acceso a la red del 'SAP Message Server' pueda registrar un servidor de aplicaciones en el sistema SAP.

Desde Onapsis no tienen pruebas de que se haya estado usando esta vulnerabilidad para un ataque, pero este fallo sin duda es bastante grave y con un gran número de afectados.

Para arreglar esta vulnerabilidad hay que modificar la configuración de acuerdo a las notas de seguridad expuestas por el fabricante para restringir el acceso. 


Mario Parra
mparra@hispasec.com
@MPAlonso_
Más información: