[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}”][et_pb_row admin_label=”Imagen principal” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_image src=”https:\/\/orekait.com\/wp-content\/uploads\/2020\/07\/vulnerabilidadensap-orekait-blog.png” alt=”cloud-public” title_text=”vulnerabilidadensap-orekait-blog” admin_label=”Imagen principal” module_class=”post-img” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row admin_label=”Cuerpo” _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.25.2″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Texto” _builder_version=”4.25.2″ header_2_font_size=”24px” header_3_font_size=”20px” header_4_font_size=”17px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” width=”%22630%22″ height=”%22307%22″ hover_enabled=”0″ global_colors_info=”{}” content__hover_enabled=”off|hover” sticky_enabled=”0″]<\/p>\n
SAP ha corregido una vulnerabilidad cr\u00edtica\u00a0que afecta al componente LM Configuration Wizard de los sistemas SAP NetWeaver Application Server (AS) Java platform, permitiendo a un atacante no autorizado ejecutar tareas de configuraci\u00f3n para realizar acciones cr\u00edticas en los sistemas SAP Netweaver Java.<\/p>\n
El fallo, denominado RECON y listado como\u00a0CVE-2020-6287<\/u><\/strong><\/a>, est\u00e1 valorado con un valor m\u00e1ximo de 10 sobre 10 en CVSS. El problema puede afectar\u00a0potencialmente\u00a0 a unos<\/strong>\u00a040,000 clientes de SAP<\/strong>, seg\u00fan la firma de ciberseguridad Onapsis, que ha sido quien ha\u00a0descubierto el fallo<\/u><\/a>\u00a0en colaboraci\u00f3n con SAP.<\/p>\n Relacionada a esta vulnerabilidad, se ha detectado otra vulnerabilidad listada como\u00a0CVE-2020-6286<\/u><\/strong><\/a>, que permite a un atacante utilizar un m\u00e9todo para descargar ficheros zip del servidor a un directorio espec\u00edfico, que conduce a un problema denominado Path Traversal.<\/p>\n \u00abAprovechando esta vulnerabilidad, un atacante remoto no autenticado en el sistema, puede obtener acceso al sistema SAP sin ning\u00fan tipo de restricci\u00f3n mediante la creaci\u00f3n de usuarios con permiso total de administraci\u00f3n en el sistema. Estos usuarios se podr\u00edan utilizar para realizar cualquier tipo de tareas de administraci\u00f3n en el sistema, como por ejemplo: arrancar y detener aplicaciones, modificar configuraciones del sistema o tener acceso a la base de datos del sistema SAP\u201d.<\/p>\n \u00abEsta vulnerabilidad pone en riesgo la confidencialidad, integridad y disponibilidad de los datos y procesos del sistema SAP\u00bb es lo que ha publicado la Agencia de Cybersecuridad y Seguridad de Infraestructuras (CISA) de EEUU en un\u00a0comunicado<\/u><\/a>\u00a0de advertencia.<\/p>\n La vulnerabilidad est\u00e1 presente en la aplicaci\u00f3n de un componente de SAP ejecut\u00e1ndose desde las versiones SAP NetWeaver AS Java 7.3 o superiores, hasta las \u00faltimas versiones SAP NetWeaver 7.5. Esto pone en peligro varios productos de SAP, incluyendo pero no limit\u00e1ndose a: SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management, SAP Business Intelligence y SAP Enterprise Portal.<\/p>\n De acuerdo con\u00a0Onapsis<\/u><\/a>, RECON se debe a la falta de autenticaci\u00f3n en un componente Web de SAP NetWeaver AS for Java y puede proporcionar a un atacante la posibilidad de realizar actividades que requieren privilegios elevados en el sistema SAP atacado.<\/p>\n