SAP: falha corrigida há 5 anos ainda causa estragos

Pesquisadores de segurança estão vendo evidências de que até 36 organizações globais foram invadidas via exploração de uma vulnerabilidade no SAP Business Applications que foi corrigida há mais de cinco anos atrás.
A vulnerabilidade, corrigida pela SAP em 2010, existe na funcionalidade built-in em sistemas Java SAP NetWeaver Application Server (plataformas SAP Java).
De acordo com Onapsis baseada em Massachussets Boston, existem indicadores de exploração contra 36 grandes empresas globais em todo o mundo. A Onapsis recusou-se a identificar as organizações comprometidas, mas observou que eles estão localizados em, ou são co-propriedade de empresas nos Estados Unidos, Reino Unido, Alemanha, China, Índia, Japão e Coreia do Sul, e abrangem um número de indústrias, incluindo Óleo&Gás, telecomunicações, lojas de varejo, setor automotivo e de fabricação de aço.
A empresa disse que os sinais iniciais de exploração foram divulgados publicamente durante um fórum de ocorrências digitais 2013-2016, ocorrido na China.
O US-CERT emitiu um alerta separado para avisar que os indicadores de hacking se relacionam com o abuso do Invoker Servlet, um built-in funcionalidade em sistemas Java SAP NetWeaver Application Server (plataformas SAP Java): "O Invoker Servlet contém uma vulnerabilidade que foi corrigida pela SAP em 2010. No entanto, a vulnerabilidade continua afetando os sistemas SAP ultrapassados e mal configurados," US-CERT advertiu.
A exploração contra essa vulnerabilidade dá à atacantes remotos não autenticados, pleno acesso às plataformas SAP afetadas, proporcionando controle completo das informações de negócios e processos nesses sistemas, bem como a possibilidade de acesso a outros sistemas. Para explorar esta vulnerabilidade, o invasor só precisa de um navegador da Web e o endereço de domínio ou hostname ou IP do sistema de destino SAP.
A seguinte lista inclui algumas das soluções de negócios SAP e componentes técnicos que podem ser afetados se suas plataformas SAP Java subjacentes não tenham sido devidamente protegidas:
SAP Enterprise Resource Planning (ERP)
Gestão do ciclo de vida SAP do produto (PLM)
Relationship Management SAP Clientes (CRM)
SAP Supply Chain Management (SCM)
Relationship Management SAP Supplier (SRM)
SAP Enterprise Portal (EP)
SAP Process Integration (PI)
SAP Exchange Infrastructure (XI)
SAP Solution Manager (SolMan)
SAP NetWeaver Business Warehouse (BW)
SAP Business Intelligence (BI)
SAP NetWeaver Mobile Infrastructure (MI)
Infra-estrutura SAP NetWeaver Desenvolvimento (NWDI)
SAP Central processo de agendamento (CPS)
SAP NetWeaver Composition Environment (CE)
SAP NetWeaver Enterprise Search
SAP NetWeaver Identity Management (IDM)
Governança SAP, Risco e Controle 5.x (GRC)
A SAP na terça-feira emitiu uma nova rodada de atualizações mensais de segurança para os seus produtos, remendando um total de 10 vulnerabilidades, incluindo falhas críticas no ASE XPServer, Crystal Reports Enterprise e análise preditiva.