Múltiples vulnerabilidades en SAP Web Application Server

SAP AG (Systeme, Anwendungen und Produkte) (Sistemas, Aplicaciones y Productos) es un importante proveedor de aplicaciones de gestión empresarial, sólo superado en capitalización de mercado por Microsoft, IBM y Oracle.

El servidor de aplicaciones web de SAP (WAS, Web Application Server) es un componente que permite interactuar con el software de gestión a través de un servidor Web. La plataforma está basada en estándares abiertos, y constituye un elemento crucial en la tecnología mySAP.

El primero de los problemas, detectados por el equipo de investigación de CYBSEC, es un vector de phishing en WAS que afecta a las versiones SAP WAS 6.10, 6.20, 6.40 y 7.00, explotable de modo remoto. Este fallo se debe a que el parámetro “sap-exiturl” permite URLs absolutas, lo que combinado con el parámetro “sap-sessioncmd”, habilitaría la posibilidad de conducir un ataque phishing.

El segundo de los problemas, de criticidad media, es un conjunto de múltiples vulnerabilidades Cross-Site Scripting, también explotables de modo remoto, y afecta a las mismas versiones citadas anteriormente. Los ataques XSS posibles se basan en inyección de código JavaScript. Se han detectado tres vectores de ataque posibles: páginas de error, el parámetro “syscmd” y SYSTEM PUBLIC.

Por último, el servidor WAS es susceptible de un problema crítico en el parámetro sap-exiturl, que posibilitaría un ataque remoto basado en la fragmentación en la respuestas http. Fragmentación que haría que a partir de una sola cabecera se considerasen dos cabeceras distintas. Al igual que en los dos casos anteriores, las versiones afectadas son SAP WAS 6.10, 6.20, 6.40 y 7.00

La recomendación más lógica ante estos problemas es que los administradores SAP actualicen mediante los parches liberados. Es igualmente aconsejable seguir los protocolos de acción descritos por el equipo de CYBSEC y que aparecen bajo el epígrafe “más información”.