SEGURANÇA

Falha no NetWeaver expõe sistemas SAP

17/07/2020 10:11

Assunto é sério: hackers podem invadir sistemas e criar usuários administradores.

Falha acendeu o alerta vermelho na SAP. Foto: SAP.

Tamanho da fonte: -A+A

Uma falha de segurança no NetWeaver, a camada de integração e desenvolvimento da SAP, pode permitir que invasores acessem os sistemas da multinacional e criem usuários administradores.

A falha pode ser explorada por um hacker com acesso à ao software por uma rede, ou até mesmo pela Internet, se ele está disponível dessa forma para clientes ou usuários internos, o que costuma ser comum..

A falha no NetWeaver AS JAVA (LM Configuration Wizard) foi descoberto pela empresa de segurança Onapsis e confirmada pela SAP.

“Recomendamos fortemente aos nossos clientes que assegurem o seu ambiente SAP e protejam-se contra vulnerabilidades baseadas em autenticação no LM Configuration Wizard of SAP NetWeaver AS Java, aplicando imediatamente a nota de segurança 2934135 do Portal de Suporte da SAP”, disse a empresa em nota enviada ao Baguete.

O bug foi apontado pela própria SAP como uma falha de nível 10 na escala  CVSS, um padrão aberto na área de segurança que classifica ameaças de 0 a 10.

Situações com esse nível de prioridade são raras na SAP. No mês de junho, por exemplo, dos 18 alertas publicados, só dois foram com notas CVSS acima de oito.

O componente Java na raiz da vulnerabilidade é usado em boa parte da linha de produtos da SAP.

A CISA, uma agência do governo americano que dá recomendações sobre riscos de cibersegurança, fez uma publicação recomendado a aplicação imediata do patch disponível.

De acordo com a CISA, a brecha pode ser usada para atacar 16 sistemas da SAP, incluindo o ERP, PLM, CRM, BI e supply chain management, entre outros.

Os clientes usando NetWeaver 7.30, 7.31, 7.40, 7.50 ou anterior devem fazer um update, que já está disponível.

Pelas contas da Onapsis, existem 2,500 aplicações SAP vulneráveis online. A consultoria dividiu esses possíveis alvos entre instalações na América do Norte, Europa e Ásia, um sinal que ela provavelmente não pesquisou clientes na América do Sul, que tem uma base respeitável de clientes SAP.

De acordo com a consultoria, a falha foi reportada para a SAP no dia 27 de maio. A multinacional deu o alerta no dia 13, quando divulgou o patch, um dia antes da data prevista para o seu ciclo mensal de updates. 

O assunto logo apareceu em sites especializados de segurança e, nos últimos dias, até em ações de email marketing de parceiros da SAP que estão divulgando o assunto para as suas bases de clientes, o que é uma situação bastante incomum.

Veja também

CARREIRA
Quem vai presidir a SAP Brasil?

Cristina Palmaka será promovida a presidente regional, empresa procura substituto.

SEGURANÇA
Nubank: dados de clientes são expostos no Google

Pesquisador encontrou mais de 100 nomes, CPFs, agências e números de contas.

SEGURANÇA
Embraer compra controle da Tempest

Gigante de aviação já havia feito um aporte na empresa pernambucana em 2016.

PESQUISA
Brasil é o que mais cresce na preocupação com segurança

Estudo Unisys Security Index foi realizado em 15 países entre março e abril deste ano.

SEGURANÇA
Hackers dizem ter dados de 200 mil militares

Site TechMundo conferiu o vazamento, que contém todo tipo de dados sensíveis.

EQUIPE
CFO pode influenciar a política de segurança

"Todas as lideranças precisam conhecer os desafios de segurança enfrentados".

RITMO
Meta cresce 56%, mesmo com pandemia

Companhia manteve ritmo acelerado de crescimento e ainda contratou 432 profissionais.

CARROS
Renault aposta na nuvem do Google

Montadora vai usar tecnologia do Google em 22 plantas em todo o mundo. 

DADOS
Qintess melhora integração do SAP da Copel

Empresa fez melhorias em 200 tópicos visando melhor comunicação com TCE-PR.

AUTOMAÇÃO
IBM compra empresa de RPA brasileira

Adquirida é a WDG Automation, de São José do Rio Preto, no interior de São Paulo.