Segurança não é fácil, nem para os gigantes da tecnologia.

Por Flávio Souza, Consultor de Segurança SAP | Morphus

A alemã SAP, empresa de softwares de gestão de empresa, corrigiu em abril, no seu Security Patch Day, 26 novas notas de vulnerabilidades em diversos de seus produtos. Um número surpreendente, comparado aos lançamentos feitos nas edições anteriores, desde 2018.

As vulnerabilidades são categorizadas em uma escala que possui os índices, hot news, high, medium e low, onde a categoria hot news é o nível mais alto de criticidade.

Sobre as vulnerabilidades, basicamente temos:

• CROSS-SITE SCRIPTING quando é possível entrar com códigos de programação e gerar algum dano no sistema;
• CODE INJECTION quando conseguimos executar comandos de SQL, linguagem de programação de banco de dados, em campos da página web e gerar algum dano;
• DIRECTORY/ PATH TRAVERSAL quando é possível modificar caminhos de diretórios da aplicação;
• INFORMATION DISCLOSURE vulnerabilidade onde temos acesso a informações confidenciais, de qualquer ordem, como por exemplo, fórmulas de produtos, código fonte, etc;
• MISSING AUTHENTICATION quando um acesso ao sistema SAP é feito sem autenticação;
• MISSING AUTHORIZATION CHECK falha nos ERPS, um sistema de gestão empresarial, onde não são feitas limitações de unidades geográficas por colaborador, possibilitando acesso a informações confidenciais;
• MISSING XML VALIDATION falta de validação por código XML — Extensible Markup Language;
• URL REDIRECTION redirecionamento de URL, provavelmente criado por cyber criminosos para roubar informações pessoais.

Em relação aos produtos podemos nos atentar principalmente ao SAP Business objects:

Recomendamos que os times de segurança mantenham seus ambientes atualizados e realizem os devidos ajustes técnicos sugeridos. Este é o primeiro passo para manter o ambiente seguro. Saiba mais aqui.