Exploração SAP (SolMan) lançado para falha de pré-autenticação de gravidade máxima

SolMan também é usado como um utilitário administrativo para monitorar e manter aplicativos corporativos SAP de missão crítica, incluindo, mas não se limitando a, ERP, BI, CRM, SCM e finanças de uma organização.

Nível de habilidades necessário para exploração reduzido drasticamente

Essa falha crítica de segurança é rastreada como CVE-2020-6207 e é causada por uma verificação de autenticação ausente no componente EEM Manager Solman que poderia levar à aquisição de sistemas SAP conectados.

Pode ser explorado remotamente em ataques de baixa complexidade por atacantes não autenticados com acesso à porta SolMan HTTP (s), sem a necessidade de interação do usuário, o que explica sua classificação de gravidade 10/10 CVSS3 dada pelo SAP.

Embora a vulnerabilidade tenha sido divulgada e corrigida pela SAP em março de 2020 , esta é a primeira vez que um código de exploração público foi lançado, o que reduz drasticamente o nível de habilidade necessário para os invasores explorarem servidores não corrigidos contra CVE-2020-6207.

“Embora as explorações sejam lançadas regularmente online, este não é o caso das vulnerabilidades SAP, para as quais as explorações disponíveis publicamente são limitadas”, disse o Onapsis Research Labs, que identificou a exploração pública pela primeira vez depois de publicada por um pesquisador de segurança no GitHub. em um relatório publicado no início desta semana.

“O lançamento de uma exploração pública aumenta significativamente a chance de uma tentativa de ataque, uma vez que também expande os invasores em potencial não apenas para especialistas em SAP ou profissionais, mas também para script kiddies ou invasores menos experientes que agora podem aproveitar ferramentas públicas em vez de criar seus próprio.”

Impacto de um ataque bem-sucedido

Ataques que abusam dessa vulnerabilidade exporiam virtualmente todos os aplicativos SAP, processos de negócios e dados de uma organização à exfiltração ou adulteração e comprometeriam todos os sistemas gerenciados usando a instância SolMan comprometida.

Para piorar as coisas, SolMan é regularmente desconsiderado ao implementar políticas de patch e é comumente regido por políticas separadas, muitas vezes desatualizadas.

“Uma exploração bem-sucedida pode permitir que um invasor remoto não autenticado execute tarefas administrativas altamente privilegiadas nos agentes SAP SMD conectados (os sistemas de satélite conectados ao SolMan também podem ser afetados)”, acrescentou Onapsis .

“Não é possível listar tudo o que pode ser feito nos sistemas se explorado, uma vez que ter o controle privilegiado do administrador nos sistemas ou executar comandos do sistema operacional basicamente torna isso ilimitado para um invasor.”

No entanto, Onapsis destacou as seguintes tarefas maliciosas viáveis ​​que os invasores podem executar após comprometer um servidor SolMan:

• Desligar qualquer sistema SAP na paisagem (não apenas SAP SolMan)
• Causando deficiências de controle de TI, afetando a integridade financeira e a privacidade, levando a violações de conformidade regulatória, como Sarbanes-Oxley (SOX), GDPR e outros
• Excluir quaisquer dados nos sistemas SAP, incluindo dados-chave que podem causar interrupção dos negócios
• Atribuição de privilégios de superusuário (por exemplo, SAP_ALL) a qualquer usuário existente ou novo, permitindo que esses usuários executem operações de negócios que normalmente exigiriam privilégios específicos para contornar outros controles de Segregação de Funções (SoD)
• Lendo dados confidenciais do banco de dados, incluindo informações pessoais de funcionários e clientes

Para atenuar totalmente os ataques que tentam explorar o CVE-2020-6207 em seus sistemas SAP, as organizações devem aplicar a atualização de segurança lançada pela SAP em março de 2020.

O pesquisador de segurança que publicou o código de exploração CVE-2020-6207 no GitHub também lançou uma exploração de prova de conceito para outra vulnerabilidade de execução remota de código de gravidade máxima no componente SAP NetWeaver AS JAVA, descoberta e nomeada RECON pela Onapsis.

Onapsis também descobriu e divulgou informações sobre exploits críticos publicamente disponíveis visando instalações SAP mal configuradas, coletivamente chamadas de 10KBLAZE .

Essas explorações expuseram cerca de 90% de um total estimado de 1.000.000 de sistemas de produção SAP ao risco potencial de serem hackeados se configurados incorretamente.

Fonte: https://www.bleepingcomputer.com/