Diversas vulnerabilidades en SAP Business Connector
El equipo de analistas de CYBSEC ha detectado diversas irregularidades en SAP Business Connector.
Business Connector (BC) es una herramienta “middleware” de integración que permite a los clientes SAP la comunicación con otros clientes y emplazamientos “marketplace” SAP. La integración proporcionada por BC permite la conexión con R/3 a través de tecnología abierta y no propietaria, usando para ello Internet como medio de comunicación y XML/HTML como lenguajes de contacto entre las plataformas a interconectar.
La tecnología XML de SAP BC permite encapsular metadatos en “sobres” que contienen la información a enviar. Estos metadatos permiten enrutar los mensajes adecuadamente, empleándose para el encapsulado de formatos populares en entornos empresariales, como Microsoft BizTalk y un formato similar a SOAP (Simple Object Access Protocol) para comunicación con plataformas que no operen con BizTalk. SAP tiene sus propias extensiones XML, alineadas con los estándares, para la comunicación interplataforma mediante mensajes xCBL (XML Commerce Business Language). Las dos extensiones XML de SAP son IDoc-XML y BAPI-XML.
Los problemas documentados por el equipo de CYBSEC, encabezado por Leandro Meiners, son de una criticidad moderada, y permitirían, de un modo remoto, ejecutar ataques spoofing y de manipulación de datos en sistemas no actualizados. Los problemas documentados resumen información sobre la lectura y el borrado arbitrario de ficheros en SAP BC 4.6 y SAP BC 4.7, así como la existencia de un vector de phishing en SAP BC Core Fix 7 y versiones anteriores. Nótese que SAP BC corre con privilegios de administrador en plataformas Microsoft Windows, y como root en entornos UNIX por defecto, lo que hace imperativo un control exhaustivo de las plataformas BC. Para este último caso, según el código de buenas prácticas del fabricante, es recomendable ejecutar BC como usuario no administrativo, usando un puerto elevado, siendo posible el mapeado interno a otros puertos más restringidos.
Los detalles técnicos sobre los problemas hallados serán publicados tres meses después de la emisión de estos preavisos, tras acordarse con SAP la no revelación de dichos datos para salvaguardar la integridad de los clientes hasta que completen el proceso de actualización.
El fabricante ha puesto a disposición de los usuarios parches que corrigen el problema. Los administradores SAP deben seguir las instrucciones impartidas por el fabricante en sus boletines 906401 y 908349, empleando para ello el soporte a clientes que la compañía ofrece.