Onapsis descubrió una vulnerabilidad en ciberseguridad y ayudó a proteger los datos de más de 40 mil empresas - Endeavor
Contacto
Av. del Libertador 105, Docks Al Río, Vicente López, Buenos Aires, Argentina

Onapsis descubrió una vulnerabilidad en ciberseguridad y ayudó a proteger los datos de más de 40 mil empresas

Onapsis, emprendedor Endeavor y empresa líder en ciberseguridad y compliance de aplicaciones críticas de negocio, detectó una vulnerabilidad de alto riesgo – conocida por el nombre RECON- en los sistemas SAP, uno de los proveedores más utilizados por las firmas más grandes del mundo para recopilar y procesar grandes volúmenes de datos de negocio como finanzas, recursos humanos y propiedad intelectual. 

Onapsis fue fundada por Mariano Núñez y Víctor Montero en 2009 para brindar soluciones de ciberseguridad automatizadas, proteger y monitorear sistemas ERP (Sistema de Planificación Empresarial, por sus siglas en inglés) y aplicaciones críticas de negocio, como las plataformas SAP y Oracle, y así prevenir espionaje, sabotaje, fraude y ciberataques. Actualmente, la empresa tiene oficinas en Boston (EE.UU), Buenos Aires y Heidelberg (Alemania) y protege a más de 300 empresas de todo el mundo. La empresa ha descubierto más de 800 vulnerabilidades en aplicaciones críticas de negocio a través del Onapsis Research Labs, su centro de investigación y desarrollo.

RECON (Código explotable de forma remota en NetWeaver -por sus siglas en inglés-), la vulnerabilidad hallada por Pablo Artuso, miembro del equipo de Onapsis Research Labs, afecta a más de 40 mil clientes de SAP y se estima que hay mínimo 2500 sistemas expuestos a internet. Por esta razón, SAP y Onapsis trabajaron en cercana colaboración para reparar la falla, que incluso llamó la atención del Departamento de Seguridad Nacional de los Estados Unidos (DHS). Este último emitió un reporte junto con organizaciones globales para alertar sobre posibles amenazas asociadas con esta vulnerabilidad.

“Es genial ver la velocidad a la que SAP pudo liberar una actualización oficial para arreglar este problema después de que el Onapsis Research Labs descubriera e informara esta nueva vulnerabilidad. Luego de muchos años de ser partners con SAP, se evidencia un renovado sentido de urgencia y compromiso para garantizar que los clientes estén protegidos lo más rápido posible al identificar nuevas brechas de seguridad”, explicó Mariano Núñez, CEO de Onapsis.

Esta vulnerabilidad tiene un alto nivel de riesgo porque gran parte de las soluciones afectadas están expuestas a internet para conectar a las empresas con sus usuarios y proveedores, más aún en tiempos de COVID-19. Esto significa que, un potencial ciberataque a partir de RECON podría haber permitido a un atacante el acceso desde cualquier parte del mundo a información sensible de empleados, clientes y proveedores; modificar registros financieros e información bancaria; interrumpir el funcionamiento general de un sistema; interferir en transacciones y/o eliminar archivos. 

“La protección de las aplicaciones críticas de negocio en la nube y en instalaciones locales como SAP, Oracle, Salesforce y Workday es la prioridad máxima para organizaciones privadas y públicas. Dadas las crecientes amenazas contra estas plataformas inteligentes, es excelente ver a compañías de ciberseguridad confiables como Onapsis trabajando en estrecha colaboración con los proveedores de aplicaciones para garantizar que se incrementen las protecciones en seguridad informática”, comentó Gerhard Eschelbeck, miembro del Directorio de Onapsis y ex CISO (Chief Information Security Officer) de Google.

En entrevista con Endeavor, esto es lo que compartió Víctor Montero, cofundador de la empresa:

¿Cómo está conformado el equipo que descubrió la vulnerabilidad?

El Onapsis Research Labs, nuestro centro de investigación, está conformado por 27 personas de las cuales un sub-equipo se dedica a investigación en ciberseguridad ofensiva. Este equipo tiene como objetivo estar a la vanguardia de técnicas y metodologías para la búsqueda y explotación de vulnerabilidades en distintas clases de software.

¿Hace cuánto tiempo están trabajando en Onapsis?

Onapsis Research Labs se estableció en 2012, pero la investigación en seguridad de sistemas críticos de negocio como SAP fue lo que dio origen a nuestra compañía. En estos ocho años, el equipo fue creciendo y se profesionalizó, capacitando nuevos Onas -quienes trabajan en Onapsis- y mejorando nuestra tecnología de forma continua.

¿Cómo se dieron cuenta de lo que estaba ocurriendo?

El Research Labs analizaba cómo había sido reparada otra vulnerabilidad y se observó que una de las sugerencias de ese parche proponía agregar autenticación a un servicio web expuesto por un producto de SAP y esto nos llevó a explorar qué otros servicios web sin autenticación podrían estar expuestos. Siguiendo el proceso de bughunting (búsqueda de vulnerabilidades en productos públicos), llegamos a un servicio web que no pedía autenticación y encontramos que éste podía ejecutar alrededor de 500 funcionalidades administrativas sin autenticación, como la de creación de un usuario administrador y permitir a un atacante tomar control completo de un sistema SAP.

¿Cómo es su día a día en el trabajo? ¿Cuáles son sus tareas y responsabilidades?

En el equipo de investigación se realizan tres grandes tipos de proyectos: Bughunting (búsqueda de vulnerabilidades en productos públicos), Penetration Testing (pruebas de intrusión en sistemas) y Capacitaciones y charlas.

Los proyectos de Bughunting son de tiempo variable y determinamos su alcance a partir de diversos disparadores, como el interés estratégico del tema, sucesos en la industria o una investigación a partir del análisis de un parche de seguridad público.

Por otro lado, desarrollamos proyectos de Penetration Testing que nos permite conocer qué está ocurriendo en instalaciones reales y nos da la oportunidad de acceder a vulnerabilidades no conocidas. Por último, contamos con capacitaciones y charlas en conferencias internacionales como Black Hat, Troopers y Ekoparty.

¿Qué valor creen que les están agregando al mundo con lo que hacen?

El valor de Onapsis Research Labs radica en comprender y promover la reparación de fallas en los sistemas de información crítica de la economía mundial, como gobiernos y grandes empresas. En Onapsis entendemos que, así como nuestro objetivo es encontrar estas fallas con el fin de proteger los sistemas, hay miles de individuos que invierten su tiempo en encontrarlas para uso ilegal. Por esta razón, colaboramos con los proveedores de aplicaciones para prevenir ciberamenazas y capacitamos a nuestros clientes para mitigar estos problemas.

¿Cuáles son los pasos a seguir una vez encontrado este tipo de hallazgos? ¿Hay algún protocolo especial?

Una vez encontrada una vulnerabilidad en un sistema, elaboramos un reporte para presentar a la empresa que lo desarrolla -en este caso, SAP-. En Onapsis recibimos informes periódicos sobre el progreso del caso para finalmente coordinar con la empresa la publicación del parche y su comunicación a los clientes y al público en general. En el caso particular de la vulnerabilidad RECON, y dada la gravedad de la misma, coordinamos con SAP y los CERT (Equipos de Respuesta ante Emergencias Informáticas, por sus siglas en inglés) globales la emisión de un alerta para que las organizaciones apliquen el parche lo antes posible.

¿Cómo les impactó internamente el hallazgo?

En el equipo de Investigación supimos desde el comienzo la gravedad del asunto y procedimos de manera expeditiva. En paralelo comprendimos que teníamos que hacer algo más que brindar soporte en OP -nuestra plataforma- para detectar esta vulnerabilidad y monitorear su explotación. Por eso, desarrollamos un servicio web libre y gratuito con herramientas de código abierto que permitan a cualquier persona entender su exposición respecto a esta vulnerabilidad.

¿Qué lugar creen que ocupa la empresa hoy después de esto?

El hallazgo de la vulnerabilidad RECON refuerza el sentido de la existencia de Onapsis y la importancia del trabajo que hacemos todos los días. Al encontrar una falla de esta magnitud es nuestro compromiso con la comunidad informar y buscar una solución para los usuarios finales. Onapsis trabaja para mejorar la seguridad de las plataformas de software que mueven a la economía mundial de manera responsable.

Post a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

FAQS

No. A few weeks before the start of ScaleUp, you will receive an email that will confirm if you were selected to advance in the selection process.

If selected, you will be interviewed by Endeavor staff. There will then be a selection day conducted by an internal Endeavor committee, where those shortlisted will have the opportunity to present their pitch deck.

After Selection Day, it will be announced which companies will participate in Scale Up.

All. We do not exclude any industry; we look at the degree of innovation of the business, the timing in relation to the product market fit and the profile of the entrepreneur.

Yes, you need to have a business that already has significant traction.

Yes, as long as part of your operations and the business are in Argentina.

Yes. There are two editions per year. The first is convened in February and the second in July.

Yes, of course. You must complete the form of the edition in which you want to participate.

ScaleUp lasts 5 months: the first edition of each year runs from March to July and the second from August to December.

Entrepreneurs will have an assigned Endeavor Account Manager with whom they will conduct an Assessment to identify challenges.

From it, a work plan will be proposed that consists of a series of mentoring with mentors who have know-how in the challenges that the entrepreneur is going through.

Finally, there will be networking events and four round tables where, together with their batchmates, they will listen to Experts on topics of common interest.

Preguntas frecuentes

Todo lo que necesitas saber acerca de ScaleUp

No. Antes de la primera semana de julio recibirás un mail que te confirmará si quedaste seleccionado para avanzar en el proceso de selección.

De ser seleccionado serás entrevistado por el staff de Endeavor. Luego habrá un Selection Day realizado por un comité interno de Endeavor, donde aquellos pre-seleccionados tendrán la oportunidad de presentar su pitch deck. Luego del Selection Day se informará qué empresas serán participantes del programa.

Todas. No excluimos ninguna industria; miramos el grado de innovación del negocio, el timing en relación al mercado y el perfil del emprendedor.

Si, es necesario tener un emprendimiento que además facture por encima de los 500.000 USD anuales. No será tenido en cuenta el Gross Merchandise Volume sino la facturación

Si, siempre y cuando parte de tus operaciones y el negocio se encuentren en Argentina .

Si. Hay 2 ediciones por año. La primera se convoca en febrero y la segunda en julio.

Sí, claro. Deberás completar el formulario de la edición en la que quieras participar.

El programa tiene una duración de 5 meses: la primera edición de cada año se extiende de marzo a julio y la segunda , de agosto a diciembre.

Lo podés hacer enviando un mail a scaleup@endeavor.org.ar

Los emprendedores tendrán un Account Manager asignado de Endeavor con quien realizarán un Assesment para identificar desafíos. A partir del mismo, se asignará un mentor padrino para definir la estrategia de la compañía y con quien se reunirán cada mes y medio. También habrá 3 mentorías puntuales con mentores que tengan know how en los desafíos que atraviese al emprendedor. Por último, habrá eventos de networking y 4 RoundTables en donde, juntos a los demás seleccionados, escucharán a Expertos en temáticas de interés común.