Un reporte global dedicado a SAP security muestra varios servicios críticos expuestos en un 5%-25% (dependiendo del servicio) de las compañías que implementan SAP.
Uno de los objetivos de la investigación era desmentir el mito de que los sistemas SAP están asegurados contra hackers y sólo están disponibles desde la red interna.
Aunque todas las recomendaciones de SAP y de empresas consultoras dicen que incluso el acceso interno a los servicios administrativos innecesarios debe ser restringido, se encontró que muchas compañías configuran mal su entorno y exponen servicios críticos a Internet.
La razón, en algunos casos, es la falta de conocimiento y en o tras ocasiones las empresas quieren tener un control remoto fácil, lo que las hace inseguras.
Por ejemplo, routers SAP 2012 fueron encontrados en Alemania, los cuales fueron creados principalmente para rutear el acceso a los sistemas internos de SAP. Los routers de SAP pueden tener errores de configuración de seguridad en sí mismos, pero el verdadero problema es que el 8% de estas empresas también los exponen directamente a Internet, por ejemplo, el servicio SAP Dispatcher, eludiendo al Router de SAP.
Este servicio puede ser fácilmente explotado por una sesión con las credenciales por defecto o por la explotación de algunas de las vulnerabilidades que fueron parchadas por SAP en mayo de 2012.
Además, el 9% de la muestra estudiada (que incluía mil empresas que utilizan SAP en todo el mundo) exponen la consola de administración de SAP, que es vulnerable a la recolección no autorizada de los parámetros del sistema de forma remota desde Internet. La mayoría de ellos se encuentran en China (55%) y en India (20%).
Los principales hallazgos son:
• La mayoría de los problemas (69%) tienen una alta prioridad, lo que significa que aproximadamente 2/3 de las vulnerabilidades publicadas deben ser corregidas rápidamente.
• Un total de 2,677 servidores únicos con diferentes aplicaciones web de SAP fueron encontrados en Internet usando Shodan Search.
• 59% de ellos son vulnerables a la divulgación de información.
• Los sistemas operativos más populares para SAP son Windows NT (28%) y AIX (25%).
• Se encontró que el 40% de los sistemas de NetWeaver ABAP en Internet tienen el servicio habilitado WebRFC que permite llamar a funciones críticas relacionadas con el negocio y la administración. La función es asegurada por nombres de usuario y contraseñas, pero hay demasiadas credenciales predeterminadas que funcionan en la mayoría de los casos.
• Se encontró que el 61% de los sistemas J2EE en Internet tienen el servicio de CTC habilitado. Este es vulnerable a Verb Tampering, que permite eludir la autenticación y aún se encuentra sin actualizar en la mayoría de las empresas.
0 comentarios:
Publicar un comentario