Resumen de Vulnerabilidades de Simple.ERP
Identificación de Vulnerabilidades:
Se han reportado dos vulnerabilidades en el software Simple.ERP, propiedad de la empresa Fácil de, en las versiones 6.20 hasta 6.30. La divulgación de estas vulnerabilidades fue gestionada por CERT Polska. Los identificadores de estas vulnerabilidades son CVE-2024-8773 y CVE-2024-8774.
Vulnerabilidad CVE-2024-8773:
La primera vulnerabilidad, CVE-2024-8773, permite la solicitud de rebajado del protocolo MS SQL desde el lado del servidor. Esto significa que un atacante podría forzar al sistema a utilizar un modo de comunicación menos seguro, lo que resultaría en un intercambio de datos no cifrado. Esta situación expone la información a la interceptación y modificación por parte de terceros no autorizados, comprometiendo así la integridad y confidencialidad de los datos transmitidos.
Vulnerabilidad CVE-2024-8774:
La segunda vulnerabilidad, CVE-2024-8774, implica que el cliente de Simple.ERP almacena contraseñas en un formato recuperable. Esto significa que las contraseñas no están adecuadamente cifradas, permitiendo a cualquier usuario que tenga acceso al cliente extraer y recuperar fácilmente estas contraseñas. La exposición de contraseñas puede conducir a accesos no autorizados y comprometer gravemente la seguridad del sistema.
Versiones Afectadas:
Ambas vulnerabilidades afectan a las versiones de Simple.ERP que van desde 6.20 hasta 6.30. Sin embargo, solo la versión 6.30 ha recibido un parche que corrige estas vulnerabilidades y permite a los administradores forzar el uso de comunicación cifrada para proteger los datos. Las versiones 6.20 y 6.25 siguen siendo vulnerables, ya que no han recibido actualizaciones de seguridad para resolver estos problemas.
Proceso de Divulgación:
La divulgación de estas vulnerabilidades se llevó a cabo de manera responsable con la ayuda de Marcin Ochab, PhD, quien contribuyó al informe. CERT Polska ha estado involucrado en la coordinación de la divulgación, asegurando que la información se comparta adecuadamente y se reputen las vulnerabilidades de manera efectiva.
Importancia de la Seguridad en el Software:
La aparición de estas vulnerabilidades subraya la importancia de mantener actualizado el software empresarial y la necesidad de que las empresas implementen prácticas de seguridad adecuadas. Almacenar contraseñas en un formato recuperable y permitir la degradación de protocolos de seguridad no solo crea riesgos para los sistemas individuales, sino que también puede tener repercusiones más amplias en la organización, en términos de confianza del cliente y cumplimiento normativo.
Medidas Recomendadas:
Se recomienda a todos los usuarios de Simple.ERP en las versiones vulnerables que actualicen a la versión 6.30 para obtener el parche que soluciona ambas vulnerabilidades. Además, es aconsejable que realicen auditorías regulares de seguridad y adopten políticas rigurosas para la gestión de contraseñas, incluyendo técnicas de cifrado robustas.
Conclusión:
Las vulnerabilidades CVE-2024-8773 y CVE-2024-8774 en el software Simple.ERP evidencian la necesidad crítica de mantenerse al día con actualizaciones de seguridad y adoptar medidas proactivas para proteger la información sensible. A través de una gestión eficaz de vulnerabilidades y un enfoque en la seguridad del software, las organizaciones pueden mitigar riesgos y fortalecer su postura de seguridad. Para más detalles sobre el proceso de divulgación de vulnerabilidades, se puede visitar el sitio web de CERT Polska.