SAP corrige una vulnerabilidad crítica de seguridad en SAP HANA

El principal fabricante de software de Europa, SAP, ha anunciado que había remendado vulnerabilidades en su último software HANA, que tenía un riesgo potencialmente alto de dar a los hackers el control sobre las bases de datos y las aplicaciones empresariales utilizadas para dirigir grandes empresas multinacionales.

Las vulnerabilidades en el software de grandes empresas cada vez son más lucrativas para los atacantes, ya que almacenan datos y ejecutan transacciones que son el alma de las organizaciones.

Las últimas debilidades de seguridad, conocidas en la industria como vulnerabilidades de “día cero”, se encuentran entre las más críticas jamás encontradas en HANA, el motor que ejecuta la última base de datos de SAP, la nube y otras aplicaciones empresariales más tradicionales, según Onapsis.

Onapsis dijo que las vulnerabilidades se encuentran en un componente de HANA conocido como “User Self Service” (USS) que permitiría a intrusos maliciosos o atacantes remotos comprometer completamente los sistemas vulnerables, sin tanto nombres de usuario y contraseñas válidos.

Informó 10 vulnerabilidades de HANA a SAP hace menos de 60 días, que el fabricante de software alemán fijó en un tiempo casi récord, según entrevistas con ejecutivos de ambas compañías.

El parche resultante publicado por SAP el martes fue calificado por él como 9,8 en una escala de 10, “muy alto” en términos de riesgo relativo para sus clientes.

SAP está lanzando cinco parches HANA esta semana para solucionar una serie de vulnerabilidades descubiertas en los últimos meses. Los clientes deben a su vez elegir cuándo aplicar estos parches al software que ejecuta sus funciones corporativas más críticas, un proceso que puede tardar meses o años, en casos excepcionales. Deben equilibrar los riesgos de seguridad con las demandas operacionales.