Vulnerabilidade nota 10 põe em risco 40 mil servidores SAP. Um invasor não autenticado pode obter acesso irrestrito ao sistemas SAP através da criação de usuários e da execução de comandos do sistema operacional.
Uma vulnerabilidade crítica, com pontuação CvSS 10.0, foi informada para os clientes da SAP e recebeu ontem um alerta do DHS, o Department of Homeland Security do governo dos EUA. A exploração bem-sucedida do bug abre a porta para os invasores lerem e modificarem registros financeiros; alterar detalhes bancários; ler informações de identificação pessoal (PII); administrar processos de compras; sabotar ou interromper operações; alcançar a execução de comandos do sistema operacional; e exclua ou modifique traços, logs e outros arquivos.
CVE-2020-6287 – O SAP NetWeaver AS JAVA (LM Configuration Wizard), versões – 7.30, 7.31, 7.40, 7.50, não executa uma verificação de autenticação que permite que um invasor sem autenticação prévia execute tarefas de configuração para executar ações críticas no sistema SAP Java, incluindo a capacidade para criar um usuário administrativo e, portanto, comprometer a confidencialidade, a integridade e a disponibilidade do sistema, levando à verificação de autenticação ausente.
De acordo com o alerta do Departamento de Segurança Interna, a exploração bem-sucedida do bug abre a porta para os atacantes lerem e modificarem registros financeiros; alterar detalhes bancários; ler informações de identificação pessoal (PII); administrar processos de compras; sabotar ou interromper operações; alcançar a execução de comandos do sistema operacional; e exclua ou modifique traços, logs e outros arquivos, “se explorado com sucesso, um invasor remoto e não autenticado pode obter acesso irrestrito aos sistemas SAP através da criação de usuários com altos privilégios e da execução de comandos arbitrários do sistema operacional com os privilégios da conta de usuário de serviço SAP ( adm), que possui acesso irrestrito a o banco de dados SAP e pode executar atividades de manutenção de aplicativos, como desligar aplicativos federados da SAP ”.
A vulnerabilidade foi descoberta por pesquisadores da Onapsis e batizada com o nome de Recon. Registrada como CVE-2020-6287, ela afeta mais de 40.000 clientes da SAP. A SAP publicou um patch para corrigir o problema, como parte de sua Nota de Segurança de julho de 2020.
Mariano Nunez, CEO da Onapsis, explica que o nome Recon é um acrônimo: “Significa código remotamente explorável no NetWeaver. Essa vulnerabilidade está no SAP NetWeaver Java, nas versões desde 7.30 até 7.50 (a mais recente). Todos os pacotes de suporte testados até o momento eram vulneráveis. O SAP NetWeaver é a camada base de vários produtos e soluções SAP”, detalhou. Um invasor que explorar essa vulnerabilidade terá acesso irrestrito a informações e processos críticos de negócios em vários cenários diferentes, de acordo com a Onapsis.
O bug, segundo a Onapsis, afeta um componente padrão presente em todos os aplicativos SAP que executam a tecnologia SAP NetWeaver Java. Esse componente é utilizado em muitas soluções de negócios da SAP, como SAP S / 4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal, SAP Solution Manager (SolMan) e muitas outras, disseram os pesquisadores da Onapsis.
O alerta do DHS informa que a vulnerabilidade é introduzida devido à falta de autenticação em um componente da web do SAP NetWeaver AS for Java, permitindo várias atividades de privilégio elevado num sistema SAP: um invasor remoto não autenticado pode explorar essa vulnerabilidade por meio da interface HTTP que normalmente é disponibilizada para os usuários finais e, em muitos casos, exposta na Internet.
Mitigações
Versões corrigidas dos componentes afetados estão disponíveis no SAP One Support Launchpad .
Recomendações adicionais
A CISA incentiva usuários e administradores de produtos SAP a:
- Examinar os sistemas SAP em busca de todas as vulnerabilidades conhecidas, como patches de segurança ausentes, configurações perigosas do sistema e vulnerabilidades no código personalizado da SAP.
- Apliquar patches de segurança ausentes imediatamente e institucionalizar patches de segurança como parte de um processo periódico
- Garantir a configuração segura do seu cenário SAP
- Identificar e analisar as configurações de segurança das interfaces SAP entre sistemas e aplicativos para entender os riscos apresentados por esses relacionamentos de confiança.
- Analisar os sistemas para autorizações de usuário mal-intencionadas ou excessivas.
- Monitorar sistemas para indicadores de comprometimento resultantes da exploração de vulnerabilidades.
- Monitorar os sistemas quanto a comportamentos suspeitos do usuário, incluindo usuários privilegiados e não privilegiados.
- Aplicar inteligência de ameaças em novas vulnerabilidades para melhorar a postura de segurança contra ataques direcionados avançados.
- Definir linhas de base de segurança abrangentes para sistemas e monitore continuamente as violações de conformidade e corrija os desvios detectados.
Essas recomendações se aplicam aos sistemas SAP em ambientes de nuvem pública, privada e híbrida.
Consulte o relatório Onapsis sobre a vulnerabilidade SAP “RECON” para obter mais informações.
Fonte: CISO Advisor & Mitre & CISA
Veja também:
- 15 bilhões de credenciais estão na Darknet, credenciais bancária custam US$71
- Gangue Russa usa BEC para atacar executivos de empresas multinacionais
- Aumento de 200% nos ataques BEC de fraudes em faturas e pagamentos
- DB Ransomware – Hackers estão mirando em banco de dados não seguros do MongoDB
- Falha sistema da SPTrans expõe base de dados do Bilhete Único
- Indicadores de Ataque x Indicadores de Comprometimento: qual a diferença?
- Nubank tem falha de segurança e expõe dados de clientes no Google
- Guardicore Labs lança a Enciclopédia Botnet para colaborar na luta contra o cibercrime
- Senado aprova projeto de lei que combate fake news
- Grupo frauda internet banking do Santander, rouba R$ 35 milhões
- Campanha global de spam malicioso usa o slogan “Black Lives Matter” como armadilha
- Milhões de dispositivos conectados têm falhas de TCP / IP exploráveis
Deixe sua opinião!