Onapsis, emprendedor Endeavor y empresa líder en ciberseguridad y compliance de aplicaciones críticas de negocio, detectó una vulnerabilidad de alto riesgo – conocida por el nombre RECON- en los sistemas SAP, uno de los proveedores más utilizados por las firmas más grandes del mundo para recopilar y procesar grandes volúmenes de datos de negocio como finanzas, recursos humanos y propiedad intelectual.
Onapsis fue fundada por Mariano Núñez y Víctor Montero en 2009 para brindar soluciones de ciberseguridad automatizadas, proteger y monitorear sistemas ERP (Sistema de Planificación Empresarial, por sus siglas en inglés) y aplicaciones críticas de negocio, como las plataformas SAP y Oracle, y así prevenir espionaje, sabotaje, fraude y ciberataques. Actualmente, la empresa tiene oficinas en Boston (EE.UU), Buenos Aires y Heidelberg (Alemania) y protege a más de 300 empresas de todo el mundo. La empresa ha descubierto más de 800 vulnerabilidades en aplicaciones críticas de negocio a través del Onapsis Research Labs, su centro de investigación y desarrollo.
RECON (Código explotable de forma remota en NetWeaver -por sus siglas en inglés-), la vulnerabilidad hallada por Pablo Artuso, miembro del equipo de Onapsis Research Labs, afecta a más de 40 mil clientes de SAP y se estima que hay mínimo 2500 sistemas expuestos a internet. Por esta razón, SAP y Onapsis trabajaron en cercana colaboración para reparar la falla, que incluso llamó la atención del Departamento de Seguridad Nacional de los Estados Unidos (DHS). Este último emitió un reporte junto con organizaciones globales para alertar sobre posibles amenazas asociadas con esta vulnerabilidad.
“Es genial ver la velocidad a la que SAP pudo liberar una actualización oficial para arreglar este problema después de que el Onapsis Research Labs descubriera e informara esta nueva vulnerabilidad. Luego de muchos años de ser partners con SAP, se evidencia un renovado sentido de urgencia y compromiso para garantizar que los clientes estén protegidos lo más rápido posible al identificar nuevas brechas de seguridad”, explicó Mariano Núñez, CEO de Onapsis.
Esta vulnerabilidad tiene un alto nivel de riesgo porque gran parte de las soluciones afectadas están expuestas a internet para conectar a las empresas con sus usuarios y proveedores, más aún en tiempos de COVID-19. Esto significa que, un potencial ciberataque a partir de RECON podría haber permitido a un atacante el acceso desde cualquier parte del mundo a información sensible de empleados, clientes y proveedores; modificar registros financieros e información bancaria; interrumpir el funcionamiento general de un sistema; interferir en transacciones y/o eliminar archivos.
“La protección de las aplicaciones críticas de negocio en la nube y en instalaciones locales como SAP, Oracle, Salesforce y Workday es la prioridad máxima para organizaciones privadas y públicas. Dadas las crecientes amenazas contra estas plataformas inteligentes, es excelente ver a compañías de ciberseguridad confiables como Onapsis trabajando en estrecha colaboración con los proveedores de aplicaciones para garantizar que se incrementen las protecciones en seguridad informática”, comentó Gerhard Eschelbeck, miembro del Directorio de Onapsis y ex CISO (Chief Information Security Officer) de Google.
En entrevista con Endeavor, esto es lo que compartió Víctor Montero, cofundador de la empresa:
¿Cómo está conformado el equipo que descubrió la vulnerabilidad?
El Onapsis Research Labs, nuestro centro de investigación, está conformado por 27 personas de las cuales un sub-equipo se dedica a investigación en ciberseguridad ofensiva. Este equipo tiene como objetivo estar a la vanguardia de técnicas y metodologías para la búsqueda y explotación de vulnerabilidades en distintas clases de software.
¿Hace cuánto tiempo están trabajando en Onapsis?
Onapsis Research Labs se estableció en 2012, pero la investigación en seguridad de sistemas críticos de negocio como SAP fue lo que dio origen a nuestra compañía. En estos ocho años, el equipo fue creciendo y se profesionalizó, capacitando nuevos Onas -quienes trabajan en Onapsis- y mejorando nuestra tecnología de forma continua.
¿Cómo se dieron cuenta de lo que estaba ocurriendo?
El Research Labs analizaba cómo había sido reparada otra vulnerabilidad y se observó que una de las sugerencias de ese parche proponía agregar autenticación a un servicio web expuesto por un producto de SAP y esto nos llevó a explorar qué otros servicios web sin autenticación podrían estar expuestos. Siguiendo el proceso de bughunting (búsqueda de vulnerabilidades en productos públicos), llegamos a un servicio web que no pedía autenticación y encontramos que éste podía ejecutar alrededor de 500 funcionalidades administrativas sin autenticación, como la de creación de un usuario administrador y permitir a un atacante tomar control completo de un sistema SAP.
¿Cómo es su día a día en el trabajo? ¿Cuáles son sus tareas y responsabilidades?
En el equipo de investigación se realizan tres grandes tipos de proyectos: Bughunting (búsqueda de vulnerabilidades en productos públicos), Penetration Testing (pruebas de intrusión en sistemas) y Capacitaciones y charlas.
Los proyectos de Bughunting son de tiempo variable y determinamos su alcance a partir de diversos disparadores, como el interés estratégico del tema, sucesos en la industria o una investigación a partir del análisis de un parche de seguridad público.
Por otro lado, desarrollamos proyectos de Penetration Testing que nos permite conocer qué está ocurriendo en instalaciones reales y nos da la oportunidad de acceder a vulnerabilidades no conocidas. Por último, contamos con capacitaciones y charlas en conferencias internacionales como Black Hat, Troopers y Ekoparty.
¿Qué valor creen que les están agregando al mundo con lo que hacen?
El valor de Onapsis Research Labs radica en comprender y promover la reparación de fallas en los sistemas de información crítica de la economía mundial, como gobiernos y grandes empresas. En Onapsis entendemos que, así como nuestro objetivo es encontrar estas fallas con el fin de proteger los sistemas, hay miles de individuos que invierten su tiempo en encontrarlas para uso ilegal. Por esta razón, colaboramos con los proveedores de aplicaciones para prevenir ciberamenazas y capacitamos a nuestros clientes para mitigar estos problemas.
¿Cuáles son los pasos a seguir una vez encontrado este tipo de hallazgos? ¿Hay algún protocolo especial?
Una vez encontrada una vulnerabilidad en un sistema, elaboramos un reporte para presentar a la empresa que lo desarrolla -en este caso, SAP-. En Onapsis recibimos informes periódicos sobre el progreso del caso para finalmente coordinar con la empresa la publicación del parche y su comunicación a los clientes y al público en general. En el caso particular de la vulnerabilidad RECON, y dada la gravedad de la misma, coordinamos con SAP y los CERT (Equipos de Respuesta ante Emergencias Informáticas, por sus siglas en inglés) globales la emisión de un alerta para que las organizaciones apliquen el parche lo antes posible.
¿Cómo les impactó internamente el hallazgo?
En el equipo de Investigación supimos desde el comienzo la gravedad del asunto y procedimos de manera expeditiva. En paralelo comprendimos que teníamos que hacer algo más que brindar soporte en OP -nuestra plataforma- para detectar esta vulnerabilidad y monitorear su explotación. Por eso, desarrollamos un servicio web libre y gratuito con herramientas de código abierto que permitan a cualquier persona entender su exposición respecto a esta vulnerabilidad.
¿Qué lugar creen que ocupa la empresa hoy después de esto?
El hallazgo de la vulnerabilidad RECON refuerza el sentido de la existencia de Onapsis y la importancia del trabajo que hacemos todos los días. Al encontrar una falla de esta magnitud es nuestro compromiso con la comunidad informar y buscar una solución para los usuarios finales. Onapsis trabaja para mejorar la seguridad de las plataformas de software que mueven a la economía mundial de manera responsable.
