SAP lanzó una actualización de seguridad crítica para abordar una vulnerabilidad grave que podría afectar a al menos 40,000 clientes en todo el mundo, con  2,500 sistemas SAP actualmente expuestos a Internet.

El error Recon (Código explotable de forma remota en NetWeaver), identificada como CVE-2020-6287, afecta al componente Java del SAP NetWeaver Application Server (AS) LM Configuration Wizard y tiene un puntaje CVSS de 10, el más alto posible. Éste puede ser explotado por un atacante remoto no autenticado a través del Protocolo de Transferencia de Hipertexto (HTTP) para obtener el control de las aplicaciones SAP y robar o alterar datos.

Una explotación exitosa permitiría a un atacante crear un nuevo usuario en el sistema comprometido con el más alto nivel de privilegios de administrador, omitiendo los controles de acceso y autorización, y tomar el control total del sistema, desde donde podrían leer, modificar o eliminar registros de la base de datos o archivos, robar datos, cambiar detalles bancarios, administrar procesos de compra, interrumpir la operación del sistema al corromper datos o apagarlos, realizar acciones sin restricciones a través de la ejecución de comandos del sistema operativo y eliminar o modificar trazas, registros y más.

 

El equipo que lo descubrió en Onapsis Research Labs advirtió que los niveles de acceso posibilitados por la vulnerabilidad pueden constituir una violación regulatoria, poniendo a las organizaciones comprometidas en riesgo de violar el Reglamento General de Protección de Datos (GDPR) o las regulaciones estadounidenses Sarbanes-Oxley.

La vulnerabilidad se encuentra presente en las versiones 7.30, 7.31, 7.40 y 7.50 de SAP NetWeaver AS JAVA, y habría más de 15 productos de SAP afectados como:

 

SAP Product Lifecycle Management

SAP Enterprise Resource Planning

SAP Supplier Relationship Management

SAP Supply Chain Management

SAP Customer Relationship Management

SAP NetWeaver Business Warehouse

SAP NetWeaver Mobile Infrastructure

SAP Business Intelligence

SAP Solution Manager

SAP Enterprise Portal

SAP NetWeaver Development Infrastructure

SAP Process Orchestration/Process Integration

SAP NetWeaver Composition Environment

SAP Landscape Manager

SAP Central Process Scheduling

SAP ha puesto a disposición de sus clientes un parche que soluciona ésta y otras vulnerabilidades. En un comunicado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo que debido a la gravedad de la vulnerabilidad, las organizaciones en riesgo deberían aplicar este parche dentro de las 24 horas, priorizando los sistemas con conexión a Internet.