Falha acendeu o alerta vermelho na SAP. Foto: SAP.

Uma falha de segurança no NetWeaver, a camada de integração e desenvolvimento da SAP, pode permitir que invasores acessem os sistemas da multinacional e criem usuários administradores.

A falha pode ser explorada por um hacker com acesso à ao software por uma rede, ou até mesmo pela Internet, se ele está disponível dessa forma para clientes ou usuários internos, o que costuma ser comum..

A falha no NetWeaver AS JAVA (LM Configuration Wizard) foi descoberto pela empresa de segurança Onapsis e confirmada pela SAP.

“Recomendamos fortemente aos nossos clientes que assegurem o seu ambiente SAP e protejam-se contra vulnerabilidades baseadas em autenticação no LM Configuration Wizard of SAP NetWeaver AS Java, aplicando imediatamente a nota de segurança 2934135 do Portal de Suporte da SAP”, disse a empresa em nota enviada ao Baguete.

O bug foi apontado pela própria SAP como uma falha de nível 10 na escala  CVSS, um padrão aberto na área de segurança que classifica ameaças de 0 a 10.

Situações com esse nível de prioridade são raras na SAP. No mês de junho, por exemplo, dos 18 alertas publicados, só dois foram com notas CVSS acima de oito.

O componente Java na raiz da vulnerabilidade é usado em boa parte da linha de produtos da SAP.

A CISA, uma agência do governo americano que dá recomendações sobre riscos de cibersegurança, fez uma publicação recomendado a aplicação imediata do patch disponível.

De acordo com a CISA, a brecha pode ser usada para atacar 16 sistemas da SAP, incluindo o ERP, PLM, CRM, BI e supply chain management, entre outros.

Os clientes usando NetWeaver 7.30, 7.31, 7.40, 7.50 ou anterior devem fazer um update, que já está disponível.

Pelas contas da Onapsis, existem 2,500 aplicações SAP vulneráveis online. A consultoria dividiu esses possíveis alvos entre instalações na América do Norte, Europa e Ásia, um sinal que ela provavelmente não pesquisou clientes na América do Sul, que tem uma base respeitável de clientes SAP.

De acordo com a consultoria, a falha foi reportada para a SAP no dia 27 de maio. A multinacional deu o alerta no dia 13, quando divulgou o patch, um dia antes da data prevista para o seu ciclo mensal de updates. 

O assunto logo apareceu em sites especializados de segurança e, nos últimos dias, até em ações de email marketing de parceiros da SAP que estão divulgando o assunto para as suas bases de clientes, o que é uma situação bastante incomum.