9 nov. 2015

Vulnerabilidades críticas en SAP HANA (parchea!)

La empresa Onapsis ha revelado un total de 21 vulnerabilidades en la plataforma SAP HANA, algunos de los cuales permitirían a los atacantes controlar remotamente el sistema víctima.
La plataforma SAP HANA es un base de datos y un sistema de gestión y análisis para uso local o en la nube. Más de 10.000 empresas utilizan el sistema y por eso deben tomar nota de estas fallas críticas porque podrían permitir fuga datos sensibles y ataques a la infraestructura de la organización.

Las vulnerabilidades halladas en la plataforma impactan de todas las aplicaciones basadas en SAP HANA, como SAP S/4HANA y SAP Cloud. Ocho de los errores son considerados críticos (10 en CVS) y seis de ellas corresponden a errores de diseño y necesitan cambios de configuración del sistema. Onapsis dice:
"Sin estos cambios, atacantes no autenticados podrían tomar control completo del sistema SAP HANA vulnerables, incluyendo robar, borrar o cambiar información de la empresa, así como voltear la plataforma e interrumpir los procesos claves del negocio.
Esta es la primera vez que se han emitido avisos con el nivel más alto de criticidad, combinado con el mayor número de vulnerabilidades, para SAP HANA"
Además, la compañía ha encontrado seis fallos de seguridad de riesgo alto y siete vulnerabilidades de riesgo medio. La mayoría de los defectos severos se refieren a las interfaces del core HANA TrexNet, que controla las comunicaciones entre servidores dentro de la empresa.

Desafortunadamente, TrexNet es la base de todas las aplicaciones de SAP, así como un ecosistema de aplicaciones móviles, y una brecha de seguridad relacionad con este sistema podría terminar en desastre. Para empeorar las cosas, algunas de las vulnerabilidades están basadas en HTTP, permitiendo a los atacantes tomar control de la plataforma sin necesidad de un usuario o una contraseña.

"La explotación de vulnerabilidades en SAP HANA podría significar un impacto en la economía mundial porque presenta posibilidades de ataques estatales, espionaje económico, fraude financiero o sabotaje de sistemas clave del negocio" afirma Onapsis.

Onapsis está colaborando con la empresa alemana para solucionar las fallas antes de que sean de dominio público y se utilicen contra clientes. Después de ser notificado en febrero, ayer SAP lanzó las actualizaciones SAP Security Note 2165583, por lo que se recomienda actualizar.

Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!