0
0
Os ataques da cadeia de fornecimento de software, também chamados de ataques de cadeia de valor ou de terceiros, são ameaças emergentes. Esse tipo de ataque é frequentemente realizado infiltrando-se em um terceiro ou parceiro externo que tenha acesso aos seus sistemas. Normalmente, a intenção do invasor é acessar códigos-fonte, criar processos ou atualizar mecanismos infectando aplicativos legítimos e sequestrando-os para distribuir malware. No entanto, quando se trata de direcionar sistemas SAP, esses tipos de ataques podem ser realizados por funcionários e também atingir processos internos de implantação de software.
De acordo com a SAP, os clientes da empresa geram 87% do total do comércio global (US$ 46 trilhões), e 99 das 100 maiores empresas do mundo são clientes SAP. Embora o SAP seja amplamente utilizado no software de aplicativos corporativos, ele não é uma solução fora da caixa, e muitas vezes as unidades de negócios de uma empresa solicitam melhorias de funcionalidade que não existem dentro do escopo padrão do produto SAP. Para implementar esses aprimoramentos, profissionais qualificados de TI usam solicitações de transporte SAP para implantar alterações de codificação e repositórios através dos vários níveis de preparação da linha do sistema SAP — e é aí que está a vulnerabilidade.
A SAP faz uso dos chamados “Transportes” que contêm a codificação e servem como contêiner para a implantação do código fonte através do cenário do sistema dos clientes SAP. O processo de gerenciamento de alterações SAP pressupõe que as solicitações de transporte não podem ser alteradas depois de exportadas. As ferramentas de gerenciamento de mudança SAP e seus processos de garantia de qualidade são projetados com premissas-chave, sendo uma delas o conteúdo de uma solicitação de transporte congelada uma vez exportada do sistema de desenvolvimento SAP. Uma vez liberada, a solicitação de transporte não é mais modificável — ou é?
O Problema
Existe um recurso oculto que o SAP padrão envia com o programa RDDIT076, acessível via Hotline Tools (programa RSWBOSOS). Este programa permite alterar os atributos do cabeçalho de uma solicitação de transporte SAP. Após a exportação, e antes da importação para o sistema de produção, os atores de ameaças têm uma janela de tempo para incluir objetos maliciosos. Um funcionário desonesto com autorizações adequadas tem a capacidade de alterar o status de liberação de “Liberado” para “Modificável”. A solicitação de transporte pode ser alterada, mesmo que já tenha passado por todos os portões de qualidade estabelecidos no processo de gestão de mudanças.
Quando um invasor (funcionário desonesto interno ou codificador de terceiros) reverte o processo de liberação do contêiner, ele pode anexar um objeto a um transporte que executará um programa no momento da importação. Esse objeto pode ser usado no processo de implantação para obter a autorização necessária para executar uma carga adicional que aciona um programa malicioso ou um script, possibilitando a transferência de malware para o sistema de produção SAP.
Em essência, quando alguém é capaz de reverter o status de liberação da solicitação de transporte, que é o contêiner para implantar a configuração do software, ou codificação do cliente de sistema para sistema, é possível anexar uma carga ao transporte que pode contornar validações ao processo de garantia de qualidade. No entanto, é importante notar que há um enorme número de desenvolvedores, consultores e funcionários com acesso à configuração, mas qualquer pessoa que explore essa vulnerabilidade precisa ter um certo nível de segurança para alterar os atributos de cabeçalho das solicitações de transporte SAP.
Este é apenas um exemplo de uma vulnerabilidade SAP atual. Esses tipos de riscos de segurança permanecerão no local até que o patch designado seja aplicado. Uma vez que o patch é aplicado, esses problemas são resolvidos instantaneamente. Uma boa regra de ouro para ter em mente é que o sistema mais fraco da cadeia está frequentemente na caixa de desenvolvimento. Os administradores do SAP precisam rever novos patches de segurança colocados pela SAP na segunda terça-feira de cada mês para garantir que seus sistemas estejam o mais seguros possível.
A Solução
SecurityBridge identificou esse método que permite que os invasores internos se infiltrem no processo de gerenciamento de alterações SAP ou implantação de software. Trabalhamos diretamente com a SAP para dar aos clientes globais tempo suficiente para resolver esse problema antes de torná-lo amplamente conhecido. O resultado líquido foi o SNOTE 3097887, que corrige a vulnerabilidade (CVE-2021-38178). Isso protege o sistema de arquivos contra manipulação. No entanto, é aconselhável que os clientes sap verifiquem seu registro de transporte para adulteração antes da importação da produção, pois dentro dele o método de ataque descrito torna-se visível.
Conclusão
Deve haver controles de segurança inerentes que gerarão um alerta acionado automaticamente quando algo sair da linha de base, como alterar o status de liberação de uma solicitação de transporte ou incluir código vulnerável/desonesto ou outros objetos críticos. As organizações precisam aplicar imediatamente os patches SAP disponíveis e verificar constantemente se há manipulações de solicitações de transporte antes de importar alterações solicitadas na produção. Mais importante, plataformas adicionais de segurança SAP são necessárias dentro do aplicativo SAP para atender a todas as necessidades de segurança — porque todos os ambientes SAP onde um único diretório de transporte é usado em vários níveis de estadiamento são vulneráveis.
FONTE: DARK READING