LOG4J en SAP. Impacto y recomendaciones.
Algunos la tildan de la vulnerabilidad del año, otros incluso de la vulnerabilidad del siglo, sea como fuere, el descubrimiento ha impactado a muchos productos y entre ellos a muchos de los productos SAP. En esta entrada te explicamos al detalle.
LOG4J en SAP. Empecemos por el principio.
Hace unos días se encontró un problema de seguridad en la popular biblioteca Log4j.
La biblioteca Log4j forma parte de los cientos de productos de Apache Foundation y permite a los programadores Java obtener informes integrados, sin necesidad de codificación separada y con un solo formato.
LOG4J en SAP. ¿Cuánto de grave es este problema?
En resumidas cuentas, la afectación de Log4J lo convierte una vulnerabilidad muy seria.
En primer lugar tenemos que es una biblioteca muy muy extendida.
Casi todas las aplicaciones Java que proporcionan algún tipo de servicio en la red utilizan esta biblioteca para iniciar sesión. Todas las principales empresas de software del mundo, incluidas SAP, VMware, Adobe, Oracle están afectadas por este incidente en mayor o menor medida.
En segundo lugar, la explotación de la vulnerabilidad de LOG4J permite la ejecución remota de código, o lo que es lo mismo, el atacante puede ejecutar código arbitrario en el sistema comprometido. Esto supone una clasificación con un CVSS de 10 puntos sobre 10 (máximo) por diversos organismos de seguridad entre ellos el NIST, en su incidente CVE-2021-44228
Aparte de la ejecución remota de código también tendríamos otros posibles vectores de ataque tales como robo de información con un CVSS score: 9.0 (Incidente CVE-2021-45046), denegaciones de servicio con un CVSS score de 7.5 (Incidente CVE-2021-45105) o manipulación de fuente de datos no confiables con un CVSS score de 8.1 (Incidente CVE-2021-4104).
LOG4J en SAP. Afectación en SAP.
¿Afecta LOG4J a las aplicaciones SAP? Desgraciadamente, LOG4J afecta a SAP.
A día de hoy, SAP tiene 317 notas donde se habla de la posible afectación de la vulnerabilidad de LOG4J en productos SAP.
Como explicamos en el principio del post, LOG4J nace como una librería en JAVA, (Posteriormente se porta a otros lenguajes) por lo que los productos más afectados son los productos con pila JAVA o componentes que hacen uso de esta librería como el SAP HANA XSA en sus primeras versiones.
LOG4J en SAP. Recomendaciones.
En este sentido ya lo comentábamos en la entrada de nuestro blog ¿Prestas atención en aplicar los parches de seguridad SAP?
En primer lugar, recomendamos aplicar las actualizaciones de seguridad del fabricante.
Si bien LOG4J ha sido una vulnerabilidad de tipo Zero Day (Sin correcciones al momento de su descubrimiento) poco a poco se van liberando actualizaciones por los distintos fabricantes, por lo que instamos a que se apliquen lo antes posible.
En segundo lugar, es evitar la sobreexposición de los sistemas a internet.
Solo exponer lo justo y necesario.
Esto no te evitará ataques dentro de tu red corporativa, pero estarás minimizando o casi eliminando los posibles ataques desde fuera.(Puedes usar herramientas como Shodan para auditar lo actualmente expuesto.)
En AURIT estamos auditando todos los productos de nuestros clientes en busca de la presencia de LOG4J en alguno de sus productos SAP.
Si necesitas ayuda o asesoramiento, contáctanos mediante nuestro formulario de contacto o email de contacto y con gusto podemos concertar una llamada.
Si no auditas tus sistemas SAP, otros lo harán por ti.