Alrededor de 50.000 clientes de SAP han quedado desprotegidos frente a los ciberataques debido a un fallo de configuración del software descubierto recientemente. La vulnerabilidad, etiquetada como 10KBLAZE y detectada por la firma de seguridad Onapsis Research el 23 de abril, afecta las instalaciones de SAP NetWeaver, incluidas las organizaciones que ejecutan S4 / HANA.
Según Onapsis, las vulnerabilidades pueden aprovecharse para abusar de un problema de configuración crítico en el software y pueden poner en riesgo todo el sistema. Lo que es aún más preocupante es que los ciberdelincuentes pueden llevar a cabo estos ataques sin la necesidad de una identificación de usuario y contraseña válidas.
Onapsis explica en un informe que los atacantes pueden obtener acceso sin restricciones a los sistemas SAP, lo que les permite comprometer la plataforma junto con toda su información, modificar o extraer esta información o apagar el sistema. La orden de pago en efectivo, la adquisición a pago, la gestión de inventario, los impuestos, los recursos humanos y la nómina, y cualquier otro proceso comercial manejado por SAP, pueden ser controlados, lo que afecta la integridad de la información comercial utilizada para elaborar el informe financiero de la campañía.
Basándose en información pública, Onapsis afirmó que en torno a un millón de sistemas de SAP actualmente están ejecutando los componentes potencialmente afectados, y casi el 90% de estos sistemas sufren las configuraciones erróneas por las cuales estas vulnerabilidades están ahora disponibles públicamente.
Mariano Núñez, CEO y cofundador de Onapsis, dijo que “SAP lanzó notas de seguridad relevantes y orientación para ayudar a los clientes a asegurar estas configuraciones críticas hace varios años. La responsabilidad recae en los proveedores de servicios y clientes que deben implementar, hacer cumplir y monitorear controles de seguridad más estrictos en los sistemas”. Por su parte, Larry Harrington, ex presidente de la Junta del Instituto de Auditores Internos (IIA), afirmó que “este riesgo para los clientes de SAP puede representar una debilidad en las organizaciones afectadas que cotizan en bolsa que pueden generar declaraciones erróneas de importancia en los estados financieros anuales de las compañías”.