Protecció contra vulnerabilitats a SAP

Blog ABAST

Protecció contra vulnerabilitats a SAP

15 d'abril de 2022

Per Xavier Isern, especialista Àrea Ciberseguretat

Al seu comunicat mensual de pedaços de seguretat corresponent a l’abril de 2022, SAP ha anunciat un total de 22 notes de seguretat, més 10 actualitzacions de notes anteriors, de les quals 3 són de severitat crítica, 4 de severitat alta, 13 de severitat mitjana i 2 de severitat baixa. Els tipus de vulnerabilitat a què fan referència són:

  • 4 vulnerabilitats d’execució remota de codi
  • 3 vulnerabilitats de Cross-Site Scripting (XSS)
  • 3 vulnerabilitats de denegació de servei (DoS)
  • 3 vulnerabilitats de divulgació dinformació
  • 2 vulnerabilitats de manca de validació XML
  • 1 vulnerabilitat d’escalada de privilegis
  • 1 vulnerabilitat de manca de comprovació d’entrada
  • 1 vulnerabilitat de redirecció URL
  • 1 vulnerabilitat de directory traversal
  • 1 vulnerabilitat de Cross-Side Request Forgery (CSRF)
  • 1 vulnerabilitat de manca d’autorització
  • 1 vulnerabilitat d’una altra tipologia

Sent segurament la nota de seguretat que es refereix a la vulnerabilitat en Spring Framework en SAP HANA Extended Application Services la més destacada del mes.

El mes anterior van ser 17 els pedaços de seguretat publicats, alguns també corresponents a vulnerabilitats de severitat crítica o alta. La recomanació del fabricant, en tots aquests casos, era aplicar els pedaços de seguretat el més aviat possible.

Com veiem, tal com passa per a altres aplicacions i sistemes, mantenir protegit un entorn SAP de totes les amenaces i corregir les vulnerabilitats que es van detectant contínuament pot ser una tasca molt complicada. En el cas de SAP, en tractar-se d’aplicacions per als processos core del negoci i treballar amb informació crítica de l’empresa, es fa imprescindible mantenir correctament protegides dades, aplicacions i sistemes.

Per això, des d’ABAST recomanem la solució Trend Micro Deep Security for SAP Systems, que proporciona seguretat avançada per a entorns físics, virtuals, cloud i container workloads.

Com funciona Trend Micro Deep Security for SAP Systems

Trend Micro Deep Security incorpora diferents mòduls de seguretat d’antimalware, reputació web, tallafocs, prevenció d’intrusions, supervisió de la integritat i inspecció de registres. El mòdul dissenyat específicament per a SAP s’integra amb SAP NETWEAVER™ a través de l’API de VSI 2.0 Interface, una integració amb compatibilitat nativa i certificada per SAP, per protegir aplicacions SAP i la informació crítica davant d’una gran varietat d’amenaces com codi maliciós, cross-site scripting o SQL injection.

Amb la implementació de Trend Micro Deep Security for SAP Systems:

  1. Els entorns dels clients de SAP estan protegits mitjançant la interfície d’exploració de virus de SAP (VSI), el component de seguretat de la plataforma SAP NetWeaver. El VSI s’utilitza per assegurar tota mena de contingut del client, inclosos documents, imatges incrustades i contingut actiu incloent javascript i scripts en documents PDF i d’Office. Deep Securiy per als sistemes SAP funciona a la perfecció amb la tecnologia SAP NetWeaver i la plataforma de SAP HANA.
  2. Deep Security per a sistemes SAP analitza el contingut carregat a la plataforma tecnològica SAP NetWeaver per determinar el veritable tipus de contingut i ho informa als sistemes SAP a través de la Interfície NetWeaver VSI. L’escaneig de contingut protegeix contra possibles scripts maliciosos, contingut que podria estar incrustat o disfressat dins dels documents.
  3. Els administradors de SAP poden establir una política segons el tipus real de document que caldria ser permès.

Per a més informació sobre aquesta solució podeu contactar amb seguridad@abast.es

Últims posts publicats al Blog d'ABAST

¿Preocupado por la seguridad? La importancia de un Plan de Continuidad de Negocio (BCP) o un Plan de Contingencia TI.

Hace 8 años creamos esta infografía en formato de cómic, que compartimos más abajo, para una campaña en la que queríamos ilustrar la necesidad, para…
Leer más

Núvol privat, núvol públic o núvol híbrid. Quin tipus de Cloud és millor per a la meva empresa?

Si l'evolució del mercat i els clars avantatges del Cloud ens han convençut prou per fer la transició al núvol, les preguntes clau que ens…
Leer más

Protecció contra vulnerabilitats a SAP

Repassem en aquest article la dificultat de mantenir els nostres entorns SAP actualitzats amb tots els pedaços de seguretat que SAP publica mensualment, molts per…
Leer más

Registration

Forgotten Password?