Pozor! Plne funkčný Exploit uvoľnený online pre chybu SAP Solution Manager

Výskumníci v oblasti kybernetickej bezpečnosti varovali pred verejne dostupným plne funkčným exploitom, ktorý by sa mohol použiť na zacielenie podnikového softvéru SAP.

Tento exploit využíva zraniteľnosť, sledovanú ako CVE-2020-6207, ktorá pochádza z chýbajúcej overovacej kontroly vo verzii SAP Solution Manager (SolMan). 7.2

SAP SolMan je riešenie na správu a správu aplikácií, ktoré ponúka komplexnú správu životného cyklu aplikácií v distribuovaných prostrediach a funguje ako centralizované centrum pre implementáciu a údržbu systémov SAP, ako sú ERP, CRM, HCM, SCM, BI a ďalšie.

„Úspešné zneužitie by mohlo umožniť vzdialenému neoverenému útočníkovi vykonávať vysoko privilegované administratívne úlohy v pripojených agentoch SAP SMD,“ uviedli výskumníci z Onapsis s odkazom na sadu nástrojov Solution Manager Diagnostics, ktorá sa používa na analýzu a monitorovanie systémov SAP.

Zraniteľnosť, ktorá má najvyššie možné základné skóre CVSS 10.0, riešil SAP v rámci svojich aktualizácií z marca 2020.

Metódy vykorisťovania využívajúce túto chybu boli neskôr demonštrované na konferencii Black Hat minulý rok v auguste výskumníkmi Onasis Pablo Artuso a Yvan Genuer, aby poukázali na možné techniky útoku, ktoré by mohli navrhnúť nečestní strany na zasiahnutie serverov SAP a získanie prístupu root.

Kritická chyba spočívala v komponente SolMan User Experience Monitoring (predtým End-user Experience Monitoring alebo EEM), čím bol každý podnikový systém pripojený k Solution Manager vystavený riziku potenciálneho kompromisu.

Verejná dostupnosť využívacieho kódu Proof-of-Concept (PoC) preto ponecháva neopravené servery vystavené množstvu potenciálnych škodlivých útokov vrátane:

  • Vypnutie akéhokoľvek systému SAP v teréne
  • Prinútiť IT kontrolovať nedostatky ovplyvňujúce finančnú integritu a súkromie, čo vedie k porušovaniu súladu s predpismi
  • Vymazanie akýchkoľvek údajov v systémoch SAP, čo spôsobí narušenie podnikania
  • Pridelenie privilégií superužívateľa akémukoľvek existujúcemu alebo novému používateľovi, čo týmto používateľom umožní vykonávať kritické operácie a
  • Čítanie citlivých údajov z databázy

„Zatiaľ čo exploity sú vydávané pravidelne online, neplatilo to v prípade zraniteľností SAP, pre ktoré boli verejne dostupné exploity obmedzené,“ uviedli vedci z Onapsis.

„Uvoľnenie verejného exploitu výrazne zvyšuje šancu na pokus o útok, pretože tiež rozširuje potenciálnych útočníkov nielen na SAP-expertov alebo profesionálov, ale aj na scenáristov alebo menej skúsených útočníkov, ktorí teraz môžu využívať verejné nástroje namiesto vytvárania ich vlastné.”