Uma equipe de especialistas em segurança de planejamento de recursos corporativos de Massachusetts identificou um exploit que pode afetar o SAP Solution Manager (SolMan), plataforma de gerenciamento de soluções da fabricante de software alemã semelhante ao Active Directory no Windows.
Exploit é um malware com dados ou códigos executáveis capazes de aproveitar as vulnerabilidades de sistemas em um computador local ou remoto.
O exploit foi descoberto pelo Onapsis Research Labs na plataforma de hospedagem de código GitHub, onde foi publicado pelo pesquisador russo Dmitry Chastuhin em 14 de janeiro. Os pesquisadores disseram que ele pode ser usado para explorar o SAP SolMan.
Totalmente funcional, o exploit explora o Banco de Dados Nacional de Vulnerabilidades dos Estados Unidos, listando o CVE-2020-6207, uma vulnerabilidade do SAP Solution Manager, versão 7.2. A falha se deve à ausência de verificação de autenticação. Essa vulnerabilidade resulta no comprometimento total de todos os SMDAgents (agentes de monitoramento da comunicação, geralmente instalado em servidores executando aplicativos SAP) conectados ao Solution Manager.
Um ataque bem-sucedido a essa vulnerabilidade pode afetar a segurança cibernética e a conformidade regulatória de uma organização, colocando em risco seus dados essenciais, aplicativos SAP e processos de negócios.
“Embora as atualizações de correção de falhas sejam lançadas regularmente online, esse não é o caso das vulnerabilidades do SAP, para as quais as atualizações disponíveis foram limitadas”, escreveram os pesquisadores da Onapsis.
“O lançamento de uma exploração pública aumenta significativamente a chance de uma tentativa de ataque, pois também expande o potencial de invasão não apenas para especialistas em SAP ou profissionais, mas também para script-kiddies ou invasores menos experientes que podem aproveitar ferramentas de exploração públicas em vez de criar as suas próprias”, completam.
Veja isso
SAP publica 11 patches e corrige falha com gravidade grau 10
Vulnerabilidade com CVSS 10.0 põe em risco 40 mil servidores SAP
Segundo os pesquisadores, por ter sido criado para centralizar o gerenciamento de todos os sistemas SAP e não SAP, o SolMan tem conexões confiáveis com vários sistemas. Assim, um invasor que obtenha acesso ao SolMan pode comprometer qualquer sistema comercial conectado a ele. “Infelizmente, por não conter nenhuma informação de negócios, o SAP SolMan costuma ser esquecido em termos de segurança; em algumas empresas, ele não segue a mesma política de patching de outros sistemas”, observam.
Um invasor com controle do SAP SolMan pode desligar sistemas, acessar dados confidenciais, excluir dados, causar deficiências de controle de TI e atribuir privilégios de superusuário a qualquer usuário novo ou existente. “Não é possível listar tudo o que pode ser feito nos sistemas se explorado, já que ter controle privilegiado de administrador nos sistemas ou executar comandos do sistema operacional basicamente torna isso ilimitado para um invasor”, escreveram os pesquisadores.
Em comunicado, a SAP informou que “o SAP Product Security Response Team colabora frequentemente com empresas de pesquisa para garantir a divulgação responsável de vulnerabilidades”. “A vulnerabilidade em questão foi corrigida no SAP Security Patch Day – março de 2020. Aconselhamos nossos clientes a proteger seu ambiente SAP aplicando a nota de segurança 2890213 do SAP Support Portal.”
