0
0
As organizações que executam aplicativos críticos para os negócios na tecnologia de plataforma Application Server for ABAP da SAP podem querer ler e prestar atenção aos detalhes de um documento técnico apresentado na conferência de segurança cibernética da Trooper na Alemanha esta semana.
O documento, da empresa de pesquisa SEC Consult, fornece detalhes técnicos e código de prova de conceito (PoC) para quatro vulnerabilidades críticas na implementação do lado do servidor da interface de comunicação RFC (Remote Function Call) em todas as versões e versões da plataforma ABAP e ABAP (AS ABAP) do NetWeaver Application Server da SAP.
Kernel ABAP afetado por pelo menos uma das falhas
As vulnerabilidades oferecem aos invasores uma maneira de executar remotamente código arbitrário em sistemas afetados, acessar dados críticos, mover-se lateralmente para outros sistemas SAP na mesma rede e executar outras ações maliciosas. Pelo menos uma das falhas existe no kernel ABAP, o que significa que um número muito grande de produtos SAP é afetado.
“Os invasores remotos não autenticados podem explorar os problemas identificados para assumir o controle total dos servidores de aplicativos vulneráveis. Isso pode resultar em um comprometimento total da confidencialidade, integridade e disponibilidade dos dados”, disse a SEC Consult em nota aos clientes alertando sobre os problemas; também compartilhou o aviso com a Dark Reading.
Pesquisadores da SEC Consult descobriram e relataram as vulnerabilidades à SAP nos últimos dois anos. Eles identificaram o primeiro no final de 2020 e o último no início deste ano. A SAP emitiu patches para cada um dos problemas identificados logo após a SEC Consult reportá-los à empresa. Mesmo assim, a SEC Consult esperou até agora para divulgar detalhes técnicos das falhas para garantir que a SAP tivesse tempo suficiente para resolver adequadamente os problemas.
“As vulnerabilidades identificadas afetaram muitos produtos SAP diferentes, pois o kernel ABAP foi afetado”, diz Johannes Greil, chefe do Laboratório de Vulnerabilidades da SEC Consult.
Com detalhes técnicos e provas de conceito (PoCs) para as falhas agora disponíveis, os agentes de ameaças têm informações para criar ataques direcionados, diz ele. Portanto, sistemas sem patches podem representar um risco para as organizações. “Nosso conselho é, se ainda não foi feito, implementar os patches e as mudanças de configuração necessárias imediatamente, pois os problemas são de risco crítico”, observa Greil. “Devido ao alto risco do negócio, também informamos muitos clientes já há alguns meses, em março de 2023, e pedimos que corrigissem.”
Detalhes sobre os quatro bugs
As quatro vulnerabilidades que a SEC Consult descobriu e relatou à SAP são CVE-2021-27610, CVE-2021-33677, CVE-2021-33684 e CVE-2023-0014.
CVE-2021-27610 é uma vulnerabilidade de desvio de autenticação no AS ABAP que permite que adversários escalem privilégios em sistemas afetados. A vulnerabilidade oferece aos invasores uma maneira de estabelecer sua própria comunicação com um sistema vulnerável e reutilizar credenciais vazadas para se passar por contas de usuário e reivindicar uma identidade confiável. A exploração bem-sucedida pode levar ao comprometimento total do sistema, disse a SEC Consult.
A SEC Consult descreveu o CVE-2021-33677 como uma vulnerabilidade de divulgação não autorizada de informações na Interface AutoABAP/bgRFC que permite que um adversário enumere remotamente contas de usuário e obtenha o serviço vulnerável para executar solicitações específicas para hosts e portas de destino. CVE-2021-33684 é um bug de corrupção de memória que um invasor pode explorar para travar processos remotamente, obter execução remota de código e dados corrompidos. CVE-2023-0014, a mais recente das quatro falhas que a SEC Consult relatou à SAP, é um problema de design que permite a movimentação lateral em ambientes de sistema SAP.
Greil descreve a maioria das vulnerabilidades como críticas, especialmente CVE-2023-0014 e CVE-2021-27610, que, quando combinadas, permitem fácil movimentação lateral. “O atual de 2023 é especialmente importante porque é mais esforço para corrigir por causa de mudanças de configuração adicionais necessárias”, diz Greil. Algum entendimento técnico mais profundo do SAP seria necessário para executar ataques laterais e explorar a cadeia de ataque, porque a pilha de tecnologia SAP e as convenções de nomenclatura diferem dos protocolos de segurança de TI usuais, observa ele. “O estouro de buffer também é de alto risco porque pode ser explorado antes da autenticação. Mas não verificamos a execução remota de código”, diz Greil.
As vulnerabilidades existem em uma ampla gama de produtos SAP críticos para os negócios, incluindo SAP ERP Central Component (ECC), SAP S/4HANA, SAP Business Warehouse (BW), SAP Solution Manager (SolMan), SAP for Oil and Gas (IS Oil&Gas), SAP for Utilities (IS-U) e SAP Supplier Relationship Management (SRM).
FONTE: DARK READING