Falta de atualizações de segurança nas empresas pode colocar sistemas críticos em risco. Caso diz respeito a falhas detetadas em tecnologias da empresa SAP em 2009 e 2013, e que foram corrigidas nesses mesmos anos. Esta é a história de como uma vulnerabilidade com dez anos voltou para assombrar a gigante alemã.
Existem cerca de 180 empresas portuguesas que estão expostas a uma combinação de falhas de segurança críticas. O número foi partilhado à Insider por Dmitry Chastuhin, um dos dois investigadores que encontraram uma nova forma de juntar duas vulnerabilidades antigas – e com correções disponíveis – para explorar os sistemas de empresas que utilizem tecnologias da empresa SAP e que não fizeram as atualizações.
O número pode até ser maior, já que o perito em segurança informática diz que “as grandes empresas de Portugal podem ter elementos críticos nas tecnologias de cloud da Amazon ou noutras que não estão localizadas no país”.
Em causa está uma investigação, conhecida por Gateway to Heaven, feita por Dmitry Chastuhin e Mathieu Geli. No dia 19 de abril, numa apresentação no Dubai, revelaram uma nova forma de tirar partido de duas falhas de segurança que foram detetadas em 2009 e 2013 nos sistemas SAP – mais especificamente nas ferramentas de gateway e de servidores de mensagens.
Estas falhas foram corrigidas pela tecnológica alemã nos respetivos anos, mas isso não significa que todos os clientes da empresa tenham feito as devidas atualizações. Segundo valores revelados à Reuters pela empresa de segurança e análise Onapsis, até 50 mil organizações a nível global podem estar expostas.
O caso voltou à discussão do dia, pois a dupla de investigadores não só mostrou como explorar as vulnerabilidades, como disponibilizou ferramentas para fazê-lo, para ajudar na deteção e mitigação do problema. Mas sabendo que ainda há um grande número de empresas desprotegidas, o nível de severidade das revelações é significativo, já que um ataque bem sucedido pode resultar na sabotagem das operações diárias da empresa, seja ao nível das contas bancárias, seja ao nível da expedição de produtos.
Foi esta situação em particular que levou a Agência de Segurança de Infraestruturas e Cibersegurança dos EUA (CISA na sigla em inglês) a emitir um alerta sobre a investigação Gateway to Heaven, também conhecida como 10KBlaze.
Leia também | “O governo e os militares portugueses têm de ser capazes de fazer ataques informáticos”
Mas o risco associação à exposição acaba por ser reduzido, como nos explicou Dmitry Chastuhin através de uma troca de mensagens no Twitter. Além de não ter os sistemas atualizados, seria necessário a empresa ter configurações de segurança específicas desativadas e o atacante também teria que ter acesso à rede interna da organização, o que dificulta a realização de ataques bem sucedidos.
Ou seja, é possível estar ‘blindado’ a ataques desenhados para estas vulnerabilidades, mesmo que as atualizações não estejam em dia, como explica a publicação Serpenteq. “Se configurares a SAP Gateway de forma segura, mesmo uma configuração insegura do servidor de mensagens SAP não exporia o gateway a uma execução remota de código”, lê-se no site.
Este elemento não fica claro na notícia da Reuters, que colocou o tema em discussão, e ambos os investigadores estão a ponderar publicar uma clarificação sobre como as informações avançadas pela agência de notícias podem ser mal interpretadas.
Sobre o caso das empresas portuguesas ainda vulneráveis, Luís Urmal Carrasqueira, líder da SAP Portugal, disse à Insider à margem do evento anual da empresa, em Orlando, EUA, que as falhas em questão “estão identificadas, estão comunicadas, existe um caminho para as resolver, os clientes penso que grande parte deles já as resolveram, os poucos que ainda não fizeram têm à sua disposição forma de o fazerem”. Em Portugal a tecnológica tem mais de 5.600 clientes.
“Nós podemos comunicar, nós podemos oferecer soluções, mas nós não podemos ir às próprias empresas corrigir, é uma decisão das organizações”, acrescentou. “Temos uma linha de suporte para os clientes em que não só comunicamos com eles com alguma frequência, como também com os nossos parceiros que dão suporte de primeira linha aos nossos clientes”, sublinhou ainda o responsável português.
O regresso de um problema antigo
“Um cliente [desprotegido] já é demasiado e temos que fazer o que for preciso para ajudá-los a estarem seguros”. Foi desta forma que Tim McKnight, diretor de segurança a nível mundial da SAP, respondeu à polémica num encontro restrito com jornalistas e no qual a Insider participou. “Há dez anos que estamos a pedir aos clientes que atualizem, as correções estão disponíveis desde 2009”.
Ainda assim, o responsável assumiu que a empresa pode assumir um papel mais ativo na resolução da situação. “Reconheço que nem toda a gente tem os seus sistemas atualizados, não estão a configurá-los de forma apropriada e precisamos de ajudá-los a chegar até lá”.
No encontro também marcou presença Mariano Nunez, diretor executivo da Onapsis, empresa que deu destaque à investigação feita por Dmitry Chastuhin e o seu colega.
“A verdadeira notícia é que dois indivíduos lançaram uma ferramenta de ataque e disponibilizaram-na para todos. Para quem está a fazer gestão de risco, significa que atualmente é maior a probabilidade de haver um ataque. (…) A notícia é mais sobre ser mais provável alguém explorar essa vulnerabilidade hoje ou essa má configuração, por este ataque ser agora uma ferramenta pública”, salientou o CEO da Onapsis.
Leia também | “Posso deitar abaixo o Governo em 15 dias.” Alerta de cibersegurança em Portugal
A SAP anunciou também que vai mudar a sua política de atualizações. O plano, garante Tim McKnight, já estava aprovado e tem entrada em vigor a partir de 11 de junho: as vulnerabilidades de segurança consideradas como críticas passam a ter um tempo de suporte de 24 meses por parte da SAP, ao contrário dos 18 meses que vigoravam até aqui. “Ouvimos os nossos clientes e estamos a responder, acho que é a coisa certa a fazer daqui para a frente”.
O líder de segurança da gigante alemã considerou depois que este caso mostra como há um problema de maior escala na indústria tecnológica e que está relacionada com a não integração da segurança informática nos temas prioritários das orgninazações.
“É frustrante, às vezes, enquanto responsável de segurança, passamos a vida a corrigir as mesmas coisas uma e outra vez. Volto à questão de se dar prioridade à segurança da mesma forma como o fariam para outras funcionalidades nos produtos, nas ofertas de cloud. Tem de estar na linha da frente da tomada de decisões de qualquer negócio”.
Tanto Tim McKnight como Mariano Nunez garantiram não terem detetado, ainda, sinais de que as vulnerabilidades estejam a ser exploradas de forma ativa.
“Uma das questões pode ser resolvida de forma relativamente simples, a mudança de configuração, a outra, porque precisas de monitorizar os interfaces, pode demorar meses ou até mais. É por isso que precisas de monitorizar, mesmo que tenhas mil consultores, não vais conseguir resolver da noite para o dia”, considerou o CEO da Onapsis.
* A Insider viajou para Orlando a convite da SAP
SamSam. O vírus que espalha o pânico pelo mundo chegou a Portugal
