Uma empresa de segurança cibernética divulgou os detalhes de vulnerabilidades críticas do SAP, incluindo uma cadeia de exploração wormable, que pode expor as organizações a ataques.
As vulnerabilidades foram relatadas à gigante do software empresarial por Fabian Hagg, pesquisador da SEC Consult, uma empresa de consultoria de segurança cibernética sediada na Áustria que pertence à Atos. Hagg encontrou as falhas como parte de um projeto de pesquisa que durou três anos, com patches sendo lançados pela SAP em meados de 2021 e janeiro de 2023.
As vulnerabilidades são rastreadas como CVE-2021-27610, CVE-2021-33677, CVE-2021-33684 e CVE-2023-0014 e afetam os produtos que usam o componente SAP Application Server for ABAP. Isso inclui SAP ERP Central Component (ECC), S/4HANA, BW/4HANA, Solution Manager (SolMan), SAP for Oil & Gas, SAP for Utilities, Supplier Relationship Management (SRM), Human Capital Management (HCM) e Employee Produtos Central de Folha de Pagamento (ECP).
Os problemas, que incluem problemas de design e implementação, foram descobertos durante uma análise da interface Remote Function Call (RFC), projetada para comunicação entre sistemas SAP.
Duas das falhas receberam classificações de gravidade ‘críticas’ com base em sua pontuação CVSS: CVE-2021-27610 e CVE-2023-0014.
A exploração das vulnerabilidades descobertas pelo Hagg pode levar ao comprometimento total do sistema. O invasor precisa apenas de acesso à rede para o sistema visado.
Johannes Greil, chefe do SEC Consult Vulnerability Lab, disse Cibersegurança Notícias que os sistemas afetados normalmente só podem ser acessados internamente, mas pode haver certos produtos e configurações que podem permitir a exploração das vulnerabilidades diretamente da Internet. Nenhuma interação do usuário ou permissões especiais são necessárias para explorar as falhas.
As vulnerabilidades podem ser perigosas individualmente, mas representam um risco ainda maior quando encadeadas, tornando possível a exploração automatizada. A cadeia de exploração foi descrita como tendo recursos de ataque wormable, permitindo o movimento lateral em ambientes SAP.
Embora os patches tenham sido lançados pelo fornecedor, as organizações precisam garantir que instalaram as correções. A SEC Consult recomenda priorizar sistemas expostos a redes não confiáveis. Além dos patches, mudanças de configuração e “ajustes complexos do sistema” são necessários para solucionar uma das falhas, explicou a empresa de segurança.
“Caso o patch não seja uma opção, aconselhamos limitar o acesso via rede (RFC/HTTP) a servidores vulneráveis o máximo possível, a fim de minimizar a superfície de ataque disponível. Ademais, aconselhamos a aplicação total de comunicações criptografadas de servidor para servidor por meio de HTTPS e SNC. Por fim, consulte as medidas adicionais descritas pelo fornecedor nas notas SAP correspondentes e na FAQ para Nota de Segurança 3089413”, disse a SEC Consult.
, juntamente com um mergulho profundo no protocolo RFC, estão disponíveis em um artigo publicado pela SEC Consult. A empresa também publicou uma postagem no blog.
A pesquisa também foi apresentada por Hagg na quinta-feira no Conferência de segurança dos soldados Na Alemanha.
: