Hackers explotan vulnerabilidades SAP y atacan sus servidores
Expertos en ciberseguridad reportan que un grupo de hackers está desplegando una campaña de hacking basada en la explotación de aplicaciones críticas de SAP que no han sido actualizadas a versiones seguras, poniendo en severos riesgos la infraestructura informática de organizaciones públicas y privadas.
En un reporte conjunto, SAP y la firma de seguridad Onapsis señalaron que estos ataques ya han sido reportados a la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), que ha solicitado a los usuarios de versiones no seguras actualizar a la brevedad.
Si bien SAP reconoce que no está al tanto de cuántos casos de explotación activa se han presentado hasta el momento, la compañía señala que aún existen miles de implementaciones vulnerables que pueden ser detectadas a través de Internet, lo que representa un severo riesgo de seguridad: “Los atacantes incluso pueden encadenar la explotación de estas vulnerabilidades para maximizar el impacto potencial”, señala el reporte.
Según el reporte, estas son las fallas explotadas en esta campaña:
- CVE-2020-6287: También identificada como RECON, este es un error previo a la autenticación que permitiría a los actores de amenazas tomar control de los sistemas SAP vulnerables
- CVE-2020-6207: Error previo a la autenticación que permitiría a los actores de amenazas tomar control de los sistemas SAP sin actualizar
- CVE-2018-2380: Esta vulnerabilidad permite a los actores de amenazas realizar escaladas de privilegios y ejecutar comandos del sistema operativo después de la explotación
- CVE-2018-2380: Los actores de amenazas podrían realizar ataques de escalada de privilegios para ejecutar comandos del sistema operativo
- CVE-2016-3976: Un hacker malicioso podría explotar esta falla para escalar privilegios y leer archivos arbitrarios a través de secuencias transversales de directorio, lo que lleva a la divulgación no autorizada de información
Los especialistas reportan que la explotación encadenada de estas fallas permitiría el robo de información confidencial, fraude financiero, infecciones de ransomware e incluso la interrupción masiva de las operaciones regulares. El reporte concluye recomendando a los administradores de sistemas vulnerables actualizar sus implementaciones, ya que esta campaña permanece activa.
En caso de no poder actualizar a la brevedad, los expertos recomiendan implementar medidas de protección adicionales:
- Realizar continuas evaluaciones de compromiso en las aplicaciones de SAP vulnerables. La lista completa de aplicaciones está disponible en las plataformas oficiales de SAP, aunque los expertos recomiendan dar prioridad a las aplicaciones SAP orientadas a Internet
- Evaluar inmediatamente el riesgo de todas las aplicaciones en el entorno de SAP
- Evaluar las aplicaciones SAP para detectar la existencia de usuarios con altos privilegios no autorizados o mal configurados
- Si las aplicaciones evaluadas están expuestas actualmente y las mitigaciones no se pueden aplicar de manera oportuna, se deben implementar controles de compensación y monitorear el sistema en busca de actividad sospechosa
Fuente: https://bit.ly/3dLBGOn