Per Xavier Isern, especialista Àrea Ciberseguretat
Al seu comunicat mensual de pedaços de seguretat corresponent a l’abril de 2022, SAP ha anunciat un total de 22 notes de seguretat, més 10 actualitzacions de notes anteriors, de les quals 3 són de severitat crítica, 4 de severitat alta, 13 de severitat mitjana i 2 de severitat baixa. Els tipus de vulnerabilitat a què fan referència són:
- 4 vulnerabilitats d’execució remota de codi
- 3 vulnerabilitats de Cross-Site Scripting (XSS)
- 3 vulnerabilitats de denegació de servei (DoS)
- 3 vulnerabilitats de divulgació dinformació
- 2 vulnerabilitats de manca de validació XML
- 1 vulnerabilitat d’escalada de privilegis
- 1 vulnerabilitat de manca de comprovació d’entrada
- 1 vulnerabilitat de redirecció URL
- 1 vulnerabilitat de directory traversal
- 1 vulnerabilitat de Cross-Side Request Forgery (CSRF)
- 1 vulnerabilitat de manca d’autorització
- 1 vulnerabilitat d’una altra tipologia
Sent segurament la nota de seguretat que es refereix a la vulnerabilitat en Spring Framework en SAP HANA Extended Application Services la més destacada del mes.
El mes anterior van ser 17 els pedaços de seguretat publicats, alguns també corresponents a vulnerabilitats de severitat crítica o alta. La recomanació del fabricant, en tots aquests casos, era aplicar els pedaços de seguretat el més aviat possible.
Com veiem, tal com passa per a altres aplicacions i sistemes, mantenir protegit un entorn SAP de totes les amenaces i corregir les vulnerabilitats que es van detectant contínuament pot ser una tasca molt complicada. En el cas de SAP, en tractar-se d’aplicacions per als processos core del negoci i treballar amb informació crítica de l’empresa, es fa imprescindible mantenir correctament protegides dades, aplicacions i sistemes.
Per això, des d’ABAST recomanem la solució Trend Micro Deep Security for SAP Systems, que proporciona seguretat avançada per a entorns físics, virtuals, cloud i container workloads.
Com funciona Trend Micro Deep Security for SAP Systems
Trend Micro Deep Security incorpora diferents mòduls de seguretat d’antimalware, reputació web, tallafocs, prevenció d’intrusions, supervisió de la integritat i inspecció de registres. El mòdul dissenyat específicament per a SAP s’integra amb SAP NETWEAVER™ a través de l’API de VSI 2.0 Interface, una integració amb compatibilitat nativa i certificada per SAP, per protegir aplicacions SAP i la informació crítica davant d’una gran varietat d’amenaces com codi maliciós, cross-site scripting o SQL injection.
Amb la implementació de Trend Micro Deep Security for SAP Systems:
- Els entorns dels clients de SAP estan protegits mitjançant la interfície d’exploració de virus de SAP (VSI), el component de seguretat de la plataforma SAP NetWeaver. El VSI s’utilitza per assegurar tota mena de contingut del client, inclosos documents, imatges incrustades i contingut actiu incloent javascript i scripts en documents PDF i d’Office. Deep Securiy per als sistemes SAP funciona a la perfecció amb la tecnologia SAP NetWeaver i la plataforma de SAP HANA.
- Deep Security per a sistemes SAP analitza el contingut carregat a la plataforma tecnològica SAP NetWeaver per determinar el veritable tipus de contingut i ho informa als sistemes SAP a través de la Interfície NetWeaver VSI. L’escaneig de contingut protegeix contra possibles scripts maliciosos, contingut que podria estar incrustat o disfressat dins dels documents.
- Els administradors de SAP poden establir una política segons el tipus real de document que caldria ser permès.
Per a més informació sobre aquesta solució podeu contactar amb seguridad@abast.es