Las vulnerabilidades halladas en la plataforma impactan de todas las aplicaciones basadas en SAP HANA, como SAP S/4HANA y SAP Cloud. Ocho de los errores son considerados críticos (10 en CVS) y seis de ellas corresponden a errores de diseño y necesitan cambios de configuración del sistema. Onapsis dice:
"Sin estos cambios, atacantes no autenticados podrían tomar control completo del sistema SAP HANA vulnerables, incluyendo robar, borrar o cambiar información de la empresa, así como voltear la plataforma e interrumpir los procesos claves del negocio.Además, la compañía ha encontrado seis fallos de seguridad de riesgo alto y siete vulnerabilidades de riesgo medio. La mayoría de los defectos severos se refieren a las interfaces del core HANA TrexNet, que controla las comunicaciones entre servidores dentro de la empresa.
Esta es la primera vez que se han emitido avisos con el nivel más alto de criticidad, combinado con el mayor número de vulnerabilidades, para SAP HANA"
Desafortunadamente, TrexNet es la base de todas las aplicaciones de SAP, así como un ecosistema de aplicaciones móviles, y una brecha de seguridad relacionad con este sistema podría terminar en desastre. Para empeorar las cosas, algunas de las vulnerabilidades están basadas en HTTP, permitiendo a los atacantes tomar control de la plataforma sin necesidad de un usuario o una contraseña.
"La explotación de vulnerabilidades en SAP HANA podría significar un impacto en la economía mundial porque presenta posibilidades de ataques estatales, espionaje económico, fraude financiero o sabotaje de sistemas clave del negocio" afirma Onapsis.
Onapsis está colaborando con la empresa alemana para solucionar las fallas antes de que sean de dominio público y se utilicen contra clientes. Después de ser notificado en febrero, ayer SAP lanzó las actualizaciones SAP Security Note 2165583, por lo que se recomienda actualizar.
Fuente: ZDNet
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!