Vulnerabilidade nota 10 põe em risco 40 mil servidores SAP

Vulnerabilidade nota 10 põe em risco 40 mil servidores SAP. Um invasor não autenticado pode obter acesso irrestrito ao sistemas SAP através da criação de usuários e da execução de comandos do sistema operacional.

Uma vulnerabilidade crítica, com pontuação CvSS 10.0, foi informada para os clientes da SAP e recebeu ontem um alerta do DHS, o Department of Homeland Security do governo dos EUA. A exploração bem-sucedida do bug abre a porta para os invasores lerem e modificarem registros financeiros; alterar detalhes bancários; ler informações de identificação pessoal (PII); administrar processos de compras; sabotar ou interromper operações; alcançar a execução de comandos do sistema operacional; e exclua ou modifique traços, logs e outros arquivos.

CVE-2020-6287 –  O SAP NetWeaver AS JAVA (LM Configuration Wizard), versões – 7.30, 7.31, 7.40, 7.50, não executa uma verificação de autenticação que permite que um invasor sem autenticação prévia execute tarefas de configuração para executar ações críticas no sistema SAP Java, incluindo a capacidade para criar um usuário administrativo e, portanto, comprometer a confidencialidade, a integridade e a disponibilidade do sistema, levando à verificação de autenticação ausente.

De acordo com o alerta do Departamento de Segurança Interna, a exploração bem-sucedida do bug abre a porta para os atacantes lerem e modificarem registros financeiros; alterar detalhes bancários; ler informações de identificação pessoal (PII); administrar processos de compras; sabotar ou interromper operações; alcançar a execução de comandos do sistema operacional; e exclua ou modifique traços, logs e outros arquivos,  “se explorado com sucesso, um invasor remoto e não autenticado pode obter acesso irrestrito aos sistemas SAP através da criação de usuários com altos privilégios e da execução de comandos arbitrários do sistema operacional com os privilégios da conta de usuário de serviço SAP ( adm), que possui acesso irrestrito a o banco de dados SAP e pode executar atividades de manutenção de aplicativos, como desligar aplicativos federados da SAP ”.

A vulnerabilidade foi descoberta por pesquisadores da Onapsis e batizada com o nome de Recon. Registrada como CVE-2020-6287, ela afeta mais de 40.000 clientes da SAP. A SAP publicou um patch para corrigir o problema, como parte de sua Nota de Segurança de julho de 2020.

Mariano Nunez, CEO da Onapsis, explica que o nome Recon é um acrônimo: “Significa código remotamente explorável no NetWeaver. Essa vulnerabilidade está no SAP NetWeaver Java, nas versões desde 7.30 até 7.50 (a mais recente). Todos os pacotes de suporte testados até o momento eram vulneráveis. O SAP NetWeaver é a camada base de vários produtos e soluções SAP”, detalhou. Um invasor que explorar essa vulnerabilidade terá acesso irrestrito a informações e processos críticos de negócios em vários cenários diferentes, de acordo com a Onapsis.

O bug, segundo a Onapsis, afeta um componente padrão presente em todos os aplicativos SAP que executam a tecnologia SAP NetWeaver Java. Esse componente é utilizado em muitas soluções de negócios da SAP, como SAP S / 4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal, SAP Solution Manager (SolMan) e muitas outras, disseram os pesquisadores da Onapsis.

O alerta do DHS informa que a vulnerabilidade é introduzida devido à falta de autenticação em um componente da web do SAP NetWeaver AS for Java, permitindo várias atividades de privilégio elevado num sistema SAP: um invasor remoto não autenticado pode explorar essa vulnerabilidade por meio da interface HTTP que normalmente é disponibilizada para os usuários finais e, em muitos casos, exposta na Internet.

Mitigações

A CISA (Cybersecurity & Infrastructure Security Agency) recomenda que as organizações revejam a Nota de segurança SAP # 2934135 para obter mais informações e aplique correções críticas o mais rápido possível. A CISA recomenda priorizar a aplicação de patches sobre a aplicação de mitigações individuais. Ao aplicar patches, os sistemas externos devem ser tratados com urgência, seguidos pelos sistemas internos.
Versões corrigidas dos componentes afetados estão disponíveis no SAP One Support Launchpad .

Recomendações adicionais

A CISA incentiva usuários e administradores de produtos SAP a:

  • Examinar os sistemas SAP em busca de todas as vulnerabilidades conhecidas, como patches de segurança ausentes, configurações perigosas do sistema e vulnerabilidades no código personalizado da SAP.
  • Apliquar patches de segurança ausentes imediatamente e institucionalizar patches de segurança como parte de um processo periódico
  • Garantir a configuração segura do seu cenário SAP
  • Identificar e analisar as configurações de segurança das interfaces SAP entre sistemas e aplicativos para entender os riscos apresentados por esses relacionamentos de confiança.
  • Analisar os sistemas para autorizações de usuário mal-intencionadas ou excessivas.
  • Monitorar sistemas para indicadores de comprometimento resultantes da exploração de vulnerabilidades.
  • Monitorar os sistemas quanto a comportamentos suspeitos do usuário, incluindo usuários privilegiados e não privilegiados.
  • Aplicar inteligência de ameaças em novas vulnerabilidades para melhorar a postura de segurança contra ataques direcionados avançados.
  • Definir linhas de base de segurança abrangentes para sistemas e monitore continuamente as violações de conformidade e corrija os desvios detectados.

Essas recomendações se aplicam aos sistemas SAP em ambientes de nuvem pública, privada e híbrida.
Consulte o relatório Onapsis sobre a  vulnerabilidade SAP “RECON” para obter mais informações.

 

Fonte: CISO Advisor & Mitre & CISA

 

Veja também:

Sobre mindsecblog 1783 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!