Especialistas en ciberseguridad dieron a conocer el hallazgo de al menos cinco vulnerabilidades en SAP NetWeaver, una plataforma de tecnología integrada para todas las aplicaciones SAP en el plano técnico. Esta aplicación provee al usuario de un vínculo entre lenguajes y aplicaciones. SAP NetWWeaver está construido usando estándares abiertos de la industria por lo que es sencillo negociar transacciones de información con desarrollos de Microsoft .NET, Sun Java EE, e IBM WebSphere.
Acorde al reporte, la explotación exitosa de estas vulnerabilidades permitiría el despliegue de ataques como falsificación de solicitudes, ejecución de código, entre otros. A continuación se presenta una descripción de las fallas reportadas, además de sus puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).
CVE-2020-6287: Una serie de problemas no especificados dentro de SAP NetWeaver AS JAVA permitiría que un actor de amenazas remoto comprometa el sistema enviando solicitudes especialmente diseñadas. La falla recibió un puntaje de 8.5/10.
CVE-2020-6285: Un error no especificado dentro de SAP NetWeaver permitiría a los hackers obtener acceso remoto a información confidencial almacenada en el sistema objetivo. La vulnerabilidad recibió un puntaje CVSS de 5.7/10.
CVE-2020-6282: Una validación insuficiente del origen de la solicitud HTTP dentro de SAP NetWeaver AS JAVA permite que los hackers remotos realicen ataques de falsificación de solicitudes entre sitios (CSRF) usando un sitio web especialmente diseñado. La falla recibió un puntaje de 5.3/10 en la escala CVSS.
CVE-2020-6280: Esta falla existe debido a un error no especificado dentro de SAP NetWeaver y la plataforma ABAP permitiría a los atacantes obtener acceso a información confidencial en el sistema objetivo. La falla recibió un puntaje de 2.4/10 en la escala CVSS.
CVE-2020-6286: Un error no especificado en el componente LM Configuration Wizard permite a los atacantes comprometer el sistema objetivo con el fin de ejecutar código malicioso. La vulnerabilidad recibió un puntaje de 8.5/10.
Si bien las fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, los investigadores aún no han detectado intentos de explotación en escenarios reales, o bien algún malware relacionado con el ataque.
Las actualizaciones ya han sido lanzadas, por lo que los usuarios de implementaciones vulnerables sólo deben verificar su correcta instalación.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.