Se
ha anunciado una vulnerabilidad
en SAP NetWeaver que podría permitir a atacantes remotos modificar la información
de los sistemas SAP e incluso llegar a comprometer
toda la información de la compañía.
NetWeaver es una plataforma
compuesta por todas las aplicaciones SAP con objeto de lograr una mejor
integración entre dichas aplicaciones, utilizar estándares para asegurar la
interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver
es ampliamente utilizado en el mundo empresarial.
El problema reside en el
componente System Landscape Directory o SLD (incluido en todos los SAP JAVA Application
Servers). SLD actúa como repositorio central de información de las aplicaciones.
El mecanismo empleado para añadir
nuevos sistemas al SLD no está adecuadamente asegurado por defecto, lo que
puede dar lugar a que un atacante remoto sin autenticar pueda interactuar con
el SLD y por el diseño de su arquitectura, podría llegar al compromiso total del sistema.
SAP ha publicado la SAP Note 1939334 para
proporcionar versiones actualizadas de los componentes afectados. Los parches
pueden descargarse desde:
Más información:
[Onapsis Security Advisory 2014-020] SAP SLD
Information Tampering
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario