Ciberseguridad –protección contra malware a nivel de aplicación con SAP VSI
El número de ataques a aplicaciones SAP no deja de aumentar. Aunque SAP no se menciona explícitamente en los artículos de prensa y medios sociales pertinentes sobre incidentes de seguridad, cualquiera que sepa leer entre líneas se dará cuenta rápidamente de que la "aplicación ERP" que se vio comprometida o el "sistema de recursos humanos" que fue atacado era con toda probabilidad una aplicación SAP. Era de esperar que la frecuencia y la tasa de éxito de los ataques a aplicaciones ERP empresariales aumentaran. Al fin y al cabo, éstas representan las "joyas de la corona de datos" de muchas empresas y el "botín" esperado justifica la inversión en el desarrollo de conocimientos especializados sobre SAP desde el punto de vista de los atacantes. Por lo tanto, no es de extrañar que la "ciberseguridad SAP", como disciplina que se distingue deliberadamente de la clásica "seguridad SAP" centrada en SoD, roles y GRC, ocupe ahora un lugar permanente en los programas de todos los eventos y publicaciones relevantes de SAP.
La ciberseguridad de SAP es un tema complejo con numerosos componentes que tienen interfaces con la seguridad clásica de la infraestructura (sistema operativo, red), pero también con la ya mencionada seguridad de la lógica empresarial y los aspectos de GRC. Una de estas facetas es la protección contra malware y otros contenidos peligrosos en archivos que se procesan como adjuntos en aplicaciones SAP. A continuación, se destacarán cinco razones por las que esta protección es esencial si su aplicación procesa archivos y adjuntos:
Razón nº 1: SAP recomienda el uso de VSI
Desde su primera publicación en 2016, la "Guía de seguridad para S/4 HANA" incluye un capítulo entero dedicado al tema del escaneado de virus. En él se indica explícitamente que se recomienda el uso de un escáner de virus compatible con VSI 2.x. El código de SAP S/4 HANA llama al escáner a través de una interfaz dedicada (VSI, la interfaz de escaneo de virus de SAP) en varios puntos durante el procesamiento, por ejemplo, durante la carga, la descarga o al pasar por la pasarela.
Aunque SAP sigue refiriéndose a la interfaz en cuestión como la "Interfaz de Escaneo de Virus", la versión actual 2.1 de la interfaz se ha ampliado a una interfaz completa de "Escaneo de Contenido". SAP recomienda tres tipos de escaneo en la Guía de Seguridad:
- Detección de malware basada en firmas: La detección basada en firmas sigue siendo la técnica preferida para detectar malware que no se ejecuta, con altos índices de detección y un rendimiento muy elevado.
- Reconocimiento de tipos MIMEg: Esto se refiere al filtrado de transferencias de archivos basado en el contenido de los archivos transferidos y no - como es habitual en el estándar SAP - únicamente basado en la extensión del nombre del archivo.
- Reconocimiento y bloqueo de contenidos activosEl contenido activo es el que está incrustado en los archivos y se ejecuta cuando éstos se visualizan o procesan. Esto incluye, por ejemplo, macros en documentos de Office, pero también JavaScript en PDF, archivos XML y de imagen, scripts, MS Silverlight, XSLT, OLE, DDE, etc.
Razón nº 2: Advertencias relevantes para la auditoría en el registro de auditoría de seguridad
En el pasado, las transferencias de archivos en aplicaciones SAP se realizaban a menudo sin el conocimiento de los responsables de seguridad. Por lo tanto, los kernels ABAP actuales (a partir de la versión 757) generan advertencias (evento SAL FU9) en el registro de auditoría de seguridad si se han transferido archivos que no se han analizado debido a la ausencia o inactividad de la protección antivirus VSI. Dichas advertencias suelen clasificarse como riesgo empresarial durante una auditoría y debe verificarse su mitigación.
Motivo nº 3: Conclusiones del equipo rojo o de las pruebas de penetración
Es un procedimiento estándar en las pruebas de penetración averiguar si se puede cargar malware en la aplicación a través de las funcionalidades de carga de archivos. Los penetradores o red teamers suelen utilizar el archivo de prueba EICAR para este fin. Aunque este archivo no es malware real, todos los antivirus lo bloquean. Si el archivo de prueba EICAR puede cargarse en la aplicación, esto representa una vulnerabilidad denominada "Carga de archivos no restringida" (MITRE CWE-434). Esta vulnerabilidad ha ido subiendo año tras año en el ranking MITRE de las vulnerabilidades más peligrosas desde 2019 y ascendió al top 10 de este ranking en 2023.
Para comprobar si los filtros de tipo de archivo de la aplicación también se pueden eludir fácilmente, los penetradores también cargan archivos con extensiones de archivo "erróneas" en la aplicación ("notepad.pdf"). Si esto tiene éxito, los penetration testers certifican un hallazgo de vulnerabilidad de tipo CWE-636. La categoría "Diseño inseguro", a la que pertenece esta vulnerabilidad, se encuentra en el top 10 de vulnerabilidades del Open Web Application Security Project (OWASP).
Razón nº 4: El antimalware a nivel de servidor no protege SAP
Es un error muy extendido pensar que una solución de seguridad de servidor instalada a nivel de sistema operativo en un servidor SAP también protege las transferencias de archivos en la aplicación SAP. En primer lugar, SAP recomienda excluir todos los directorios de la instancia SAP y de la base de datos del análisis en tiempo real del antivirus a nivel de sistema operativo por motivos de rendimiento (véase la nota SAP 106267).
Pero incluso si se ignora esta nota, las transferencias de archivos a nivel de aplicación siguen siendo invisibles para el escáner de virus sin una conexión VSI. Esto se debe al hecho de que los analizadores de virus siempre analizan los archivos cuando se escriben o se leen del sistema de archivos. En el contexto de una aplicación SAP, sin embargo, este acceso al sistema de archivos no tiene lugar. Normalmente, un servidor de aplicaciones front-end -o la pasarela en el caso de las aplicaciones FIORI- acepta la transferencia del archivo y lo mantiene en memoria antes de reenviarlo a un servidor back-end (normalmente a través de SAP RFC). Este servidor no escribe el archivo en el sistema de archivos, sino que lo almacena en la base de datos o en un DMS, por ejemplo el SAP Content Server. No se accede al sistema de archivos en ningún punto de esta cadena de procesamiento. El archivo se transfiere al almacén de datos más interno de la aplicación SAP sin haber sido escaneado nunca.
Los intentos de abordar el vector de amenaza de la carga de archivos a nivel de red también dan resultados parciales en el mejor de los casos. Aunque ahora es posible analizar las cargas en busca de malware a través de HTTP/HTTPS en un cortafuegos NextGen o un proxy inverso, estas soluciones suelen fallar con las transferencias desde aplicaciones FIORI porque el archivo se transfiere como una cadena codificada en BASE64 en el canal OData a través de HTTP/S. Esta anidación no la resuelven los cortafuegos NextGen ni los proxies inversos. Este anidamiento no lo resuelven los cortafuegos NextGen ni los proxies inversos. El archivo contenido en el OData tampoco se escanea. Los intentos de escanear transferencias a través de protocolos propietarios de SAP como DIAG (utilizado por la GUI de SAP) o SAP RFC fallan porque estos protocolos no se pueden descodificar, especialmente cuando se utiliza SNC para cifrar la conexión.
Razón nº 5: Cumplimiento y responsabilidad
Casi todas las organizaciones están sujetas a marcos de cumplimiento que exigen explícitamente la implementación de una protección contra malware actualizada y de última generación. En primer lugar, por supuesto, NIS2, pero también ISO 27002:2022 - Control 8.7, PCI DSS, HIPAA y el Catálogo de Cloud Computing de BSI.
SAP introdujo la interfaz de exploración de virus en NetWeaver04 en 2005 y, desde entonces, la ha implantado en casi todas las aplicaciones, incluidas HANA XS/XSA, Business Objects, etc. De hecho, el uso de VSI es, por tanto, puntero.
Como resultado, las empresas que no implementen la protección contra malware a través de SAP VSI pueden ser consideradas responsables si usuarios ajenos a la empresa sufren daños como consecuencia de ello, por ejemplo, porque descargan un archivo de la aplicación SAP que está infectado con malware o incluso con ransomware.
Conclusión
Las transferencias de ficheros o archivos adjuntos en aplicaciones SAP suponen un riesgo potencial considerable. Esto afecta tanto a la seguridad e integridad de la propia aplicación como a la del usuario. Por tanto, la comprobación de los archivos en busca de malware y otros contenidos peligrosos durante la carga y descarga debe formar parte integral de la estrategia de ciberseguridad de SAP. Las soluciones de protección contra malware a nivel de sistema operativo y de red no son capaces de asegurar las transferencias de archivos en las aplicaciones SAP.
Por este motivo, SAP proporciona una interfaz de análisis de virus (VSI) en todos los productos actuales, con la que las transferencias de archivos pueden y deben analizarse a nivel de aplicación.
Un publirreportaje de: