Múltiples vulnerabilidades en SAP Web Application Server

Se han diagnosticado tres fallos en el servidor de aplicaciones Web de SAP, todas confirmadas por el fabricante, que ha emitido los parches correspondientes.

SAP AG (Systeme, Anwendungen und Produkte) (Sistemas, Aplicaciones y Productos) es un importante proveedor de aplicaciones de gestión empresarial, sólo superado en capitalización de mercado por Microsoft, IBM y Oracle.

El servidor de aplicaciones web de SAP (WAS, Web Application Server) es un componente que permite interactuar con el software de gestión a través de un servidor Web. La plataforma está basada en estándares abiertos, y constituye un elemento crucial en la tecnología mySAP.

El primero de los problemas, detectados por el equipo de investigación de CYBSEC, es un vector de phishing en WAS que afecta a las versiones SAP WAS 6.10, 6.20, 6.40 y 7.00, explotable de modo remoto. Este fallo se debe a que el parámetro “sap-exiturl” permite URLs absolutas, lo que combinado con el parámetro “sap-sessioncmd”, habilitaría la posibilidad de conducir un ataque phishing.

El segundo de los problemas, de criticidad media, es un conjunto de múltiples vulnerabilidades Cross-Site Scripting, también explotables de modo remoto, y afecta a las mismas versiones citadas anteriormente. Los ataques XSS posibles se basan en inyección de código JavaScript. Se han detectado tres vectores de ataque posibles: páginas de error, el parámetro “syscmd” y SYSTEM PUBLIC.

Por último, el servidor WAS es susceptible de un problema crítico en el parámetro sap-exiturl, que posibilitaría un ataque remoto basado en la fragmentación en la respuestas http. Fragmentación que haría que a partir de una sola cabecera se considerasen dos cabeceras distintas. Al igual que en los dos casos anteriores, las versiones afectadas son SAP WAS 6.10, 6.20, 6.40 y 7.00

La recomendación más lógica ante estos problemas es que los administradores SAP actualicen mediante los parches liberados. Es igualmente aconsejable seguir los protocolos de acción descritos por el equipo de CYBSEC y que aparecen bajo el epígrafe “más información”.