Vulnerabilidades críticas de ejecución remota de código, evasión de mecanismos de seguridad y divulgación de información en SAP ABAP

Especialistas en seguridad informática reportan la detección de tres severas vulnerabilidades en diversos productos de la firma tecnológica SAP. Acorde al reporte, la explotación exitosa de estas fallas permitiría el despliegue de diversos escenarios de ataque.

A continuación se presentan breves reportes de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2021-40501: La ausencia de comprobaciones de autorización dentro del kernel de SAP ABAP Platform permitiría a los actores de amenazas remotos no autenticados enviar una solicitud especialmente diseñada a la aplicación objetivo y ejecutar código arbitrario.

Esta falla recibió un puntaje CVSS de 8.6/10 y su explotación exitosa podría poner en riesgo todo el sistema afectado. La vulnerabilidad reside en las siguientes versiones de SAP ABAP Platform: 7.77, 7.81, 7.85 y 7.86

CVE-2021-40503: La salida excesiva de datos desde SAP GUI para Windows permitiría a los usuarios remotos obtener acceso no autorizado a información confidencial almacenada en el sistema subyacente.

Esta es una falla de baja severidad y recibió un puntaje CVSS de 3.1/10. La vulnerabilidad reside en todas las versiones de SAP GUI anteriores a v7.60 PL13 y v7.70 PL4.

CVE-2021-40504: Esta falla existe debido a que SAP NetWeaver AS ABAP no impone las restricciones de seguridad adecuadas, por lo que un usuario remoto con altos privilegios podría llegar a secciones del sistema que de otro modo estarían restringidas.

La vulnerabilidad recibió un puntaje CVSS de 2.4/10 y reside en las siguientes versiones de SAP NetWeaver AS ABAP: 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 y 756.

Si bien estas tres fallas pueden ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han detectado intentos de explotación en escenarios reales o bien la existencia de un exploit vinculado a este ataque. No obstante, los expertos en seguridad informática recomiendan actualizar las implementaciones afectadas a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).