O patch de atualização do SAP para este mês inclui uma correção para uma vulnerabilidade crítica de execução remota de códigos no cliente SAP GUI, que fornece acesso remoto a um servidor SAP central em uma rede corporativa.
Pesquisadores da ERPScan, uma empresa holandesa especializada em segurança de aplicativos de negócios, revelou alguns detalhes e uma prova de conceito (PoC) da vulnerabilidade, CVE-2017-6950, na data de ontem (22/03/2017), durante a “Troopers Security Conference“, na Alemanha. A vulnerabilidade permite que um invasor carregue remotamente o código que seria executado no cliente vulnerável. Assim, se um atacante, por exemplo, executar com êxito um ataque de ransomware, sistemas críticos de negócios poderiam ser reféns.
A ERPScan menciona que esta vulnerabilidade do SAP é a mais perigosa desde a vulnerabilidade de violação ocorrida em 2011, que foi divulgada na conferência Black Hat. SAP GUI para Windows 7.20 e 7.30, SAP GUI para Windows 7.40 Core SP012 e 7.50 CORE SP000 são afetados, disse a empresa.
“Não temos informações ou evidências que essa vulnerabilidade esteja sendo explorada em um cliente, mas aconselhamos todos os clientes a corrigirem sua infraestrutura imediatamente”, disse um representante da SAP ao Threatpost. “Os clientes são obrigados a aplicar o patch lançado para o SAP GUI usando o seu cliente padrão de distribuição de software e ferramentas de atualização”.
Os pesquisadores da ERPScan disseram que um invasor precisaria inicialmente comprometer um servidor SAP, como o NetWeaver, que suporta Java e a linguagem de programação ABAP para aplicativos empresariais. A ERPScan adverte que existem 3.800 vulnerabilidades conhecidas nos produtos SAP e, devido aos requisitos de negócios, o tempo de inatividade necessário para atualizar os sistemas geralmente provocam atrasos na atualização desses servidores críticos para os atuais níveis de patch.
“Existem dois fatores que pioram a situação. Em primeiro lugar, neste caso, o processo de patch é especialmente trabalhoso e demorado, uma vez que a vulnerabilidade afeta o lado do cliente, portanto, um administrador SAP deve aplicar o patch em cada endpoint (extremidade) com o SAP GUI em uma empresa, sendo que, uma empresa típica possui milhares deles. Em segundo lugar, cada cliente pode ter seu próprio endereço de pagamento único, o que dificulta o processo de pagamento”, disse Vahagn Vardanyan, pesquisador sênior de segurança da ERPScan.
Em um relatório publicado ontem (22/03/2017), a ERPScan explica que um invasor pode atacar os endpoints que executam o SAP GUI vulnerável por meio de um código ABAP criado de forma maliciosa, permitindo a execução automática de malwares (incluindo ransomware).
“Cada vez que um usuário efetua login no servidor SAP infectado usando o SAP GUI, a transação maliciosa será executada chamando um programa em um endpoint que efetua o download do ransomware no SAP GUI”, disse ERPScan. “Da próxima vez que um usuário tentar executar um aplicativo SAP GUI, o ransomware será executado e irá impedir que se faça login no servidor SAP”.
Além do ransomware, um invasor pode executar outras explorações que lhes permitam acessar arquivos e diretórios aleatórios em um sistema de arquivos SAP. Isso incluiria códigos fontes e arquivos de configurações, disse a ERPScan. Dados críticos de negócios também estariam em risco.
“O dano depende das habilidades e da imaginação do hacker, pois a vulnerabilidade permite executar qualquer código”, disse Dmitry Chastukhin, pesquisador de segurança da ERPScan. “Por exemplo, uma pessoa mal-intencionada pode obter ou excluir informações confidenciais, bem como simplesmente criar estações de trabalho que não estão disponíveis. O SAP GUI é literalmente instalado em todos os computadores dentro de uma empresa que usa o SAP e, então, essa vulnerabilidade abre a porta para a exploração em massa”.
O SAP GUI é instalado em estações de trabalho SAP, e seus 345.000 clientes e milhões de usuários individuais podem ser afetados. Chastukhin disse que o patch do SAP requer tempo de inatividade, o que poderia contribuir para a hesitação das empresas para corrigirem. Ele também adverte que algumas organizações podem não estar cientes de que alguns serviços SAP vulneráveis estão habilitados por padrão, ou que um módulo específico pode ser instalado.
A atualização do patch de março do SAP também incluiu uma correção para as vulnerabilidades in-memory no banco de dados SAP HANA, que obteve maior pontuação em nível de criticalidade do que o bug GUI. Essas vulnerabilidades afetaram o HANA User Self Service, ou USS, que permite que os usuários realizem tarefas, como criação de conta ou recuperação de senha. Enquanto o serviço é desabilitado por padrão, alguns usuários o ativam para permitir que usuários externos acessem recursos internos – algo que expõe o componente à Internet.
Publicado originalmente no ThreatPost em 22 de março de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Michael Mimoso
Tradução por Tiago Souza
Imagem deste post: ThreatPost