Después de más de año y medio de haber sido reportado a SAP AG, la compañía publicó un parche de seguridad para un número de vulnerabilidades críticas explotables en su software de Gobierno, Riesgo y Cumplimiento (GRC).

"El Control de Acceso de SAP GRC tiene múltiples vulnerabilidades remotas, lo que podría permitir a un atacante elevar privilegios, evadir las restricciones SoD y ejecutar programas arbitrarios. Un atacante también puede explotar estas vulnerabilidades de forma remota al utilizar el protocolo RFC o si SOAP-RFC está activo a través de http/https," informó la empresa ESNC de investigación de seguridad de SAP con sede en Alemania en un aviso de seguridad emitido el martes.

Las vulnerabilidades descubiertas por Ertunga Arsal, fundador de ESNC, y Mert Suoglu, consultor de seguridad de SAP, comunicadas a la compañía el 1 de abril de 2013, afectan a una sola función. La explotación requiere autenticación, pero la puntuación de gravedad del error es, sin embargo, muy alta.

"Recomendamos a los clientes de SAP aplicar el parche de seguridad [Nota del SAP 2039348] e implementar las instrucciones del manual suministrado por el proveedor," aconsejaron los investigadores de ESNC. Además, señalaron que los clientes de su suite de seguridad estaban protegidos contra la explotación de esta vulnerabilidad desde abril de 2013. También comentaron que un exploit para esta vulnerabilidad está disponible en el Módulo de Pruebas de Penetración de la solución.