La seguridad no es fácil, incluso para los gigantes tecnológicos.

Por Flávio Souza, Consultor de Seguridad SAP | Morphus

La compañía alemana SAP, del sector de software de gestión de empresa, corrigió en abril, en su Security Patch Day, 26 nuevas notas de vulnerabilidad en varios de sus productos. Un número sorprendente, en comparación con los lanzamientos realizados en ediciones anteriores, desde 2018.

Las vulnerabilidades se clasifican en una escala que tienen los índices, hot news, high, medium y low, donde la categoría hot news es el nivel más alto de criticidad.

Sobre las vulnerabilidades, básicamente tenemos:

• CROSS-SITE SCRIPTING: Cuando es posible ingresar con códigos de programación y generar algún daño al sistema;
• CODE INJECTION: Cuando se consigue ejecutar comandos de SQL, lenguaje de programación de banco de datos, en campos de la página web y generar algún daño;
• DIRECTORY/ PATH TRAVERSAL: Cuando es posible modificar las rutas del directorio de la aplicación;
• INFORMATION DISCLOSURE: Vulnerabilidad donde tenemos acceso a informaciones confidenciales de cualquier orden, como fórmulas de productos, código fuente, etc;
• MISSING AUTHENTICATION: Cuando se realiza un acceso al sistema SAP sin autenticación;
• MISSING AUTHORIZATION CHECK: Falla en la ERPS (sistema de gestión empresarial), donde no son hechas las limitaciones de unidades geográficas por empleado, lo que permite el acceso a informaciones confidenciales;
• MISSING XML VALIDATION: Carencia de validación por código XML — Extensible Markup Language;
• URL REDIRECTION: Redireccionamiento de URL, probablemente creado por ciberdelincuentes para robar información personal.

En relación con los productos, podemos prestar atención principalmente al SAP Business objects:

Recomendamos que los equipos de seguridad mantengan sus ambientes actualizados y realicen los ajustes técnicos necesarios. Este es el primer paso para mantener el ambiente seguro. Descubre más aquí.