Todos los meses, el grupo de investigadores independientes ERPScan Specialist reporta vulnerabilidades a la comunidad SAP, para que estos, o la propia compañía, las solucionen.
Para ellos, este mes ha sido muy productivo, y casi todas las que ha reportado, entran dentro de las definidas por el Top10 de OWASP. Este listado define los 10 tipos de vulnerabilidades más populares en las aplicaciones web en este momento, lo que deja entrever que hasta un gran equipo de seguridad tiene fallos, y llevar a cabo una política de revisión constante es necesario en todos los niveles.
Igualmente, ERPScan comentan que últimamente SAP se toma muy en serio lo de la creación de parches y actualizaciones, pero sigue existiendo el problema de que los usuarios de los sistemas SAP suelen no hacerlas muy a menudo, dejando los sistemas desprotegidos.
Desde Inprosec os aconsejamos implementar un PDCA continuo en todas las áreas de negocio, tanto para protegerse de los posibles flancos de problemas, como para subsanarlos rápidamente y evitar riesgos mayores.
Os dejamos un enlace donde podréis ver las vulnerabilidades, así como poder ampliar un poco más de información.
http://erpscan.com/press-center/news/mass-disclose-of-vulnerabilities-in-sap-from-erpscan-specialists/
OWASP(Open Web Application Security Project):
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project).%20Este%20listado
