Exploit SAP SolMan publié en raison d'une grave faille de pré-authentification

  • Principal
  • Nouvelles
  • Exploit SAP SolMan publié en raison d'une grave faille de pré-authentification

Exploit SAP SolMan publié en raison d'une grave faille de pré-authentification

Un code d'exploitation entièrement fonctionnel est désormais disponible publiquement pour une vulnérabilité de pré-autorisation de gravité maximale qui affecte les configurations par défaut d'un composant de SAP Solution Manager (SolMan).

SAP Solman est un gestionnaire de cycle de vie des applications implémenté dans presque tous les environnements SAP et conçu pour aider à unifier l'administration de tous les systèmes SAP et non-SAP au sein d'une interface unique.

SolMan est également utilisé comme utilitaire administratif pour surveiller et maintenir les applications métier SAP critiques d'une organisation, y compris, mais sans s'y limiter, les données ERP, BI, CRM, SCM et financières.

Niveau de compétence considérablement réduit requis pour l'exploitation

Cette faille de sécurité critique est surveillée comme CVE-2020-6207 et est causé par une vérification d'authentification manquante dans le composant Solman d'EEM Manager, ce qui pourrait entraîner la détection de systèmes SAP connectés.

Il peut être exploité à distance dans des attaques de faible complexité par des attaquants non authentifiés ayant accès au port HTTP SolMan, sans aucune interaction de l'utilisateur, ce qui explique sa cote de gravité CVSS3 10/10 fournie par SAP.

Bien que la vulnérabilité ait été révélée et patché par SAP en mars 2020 , c'est la première fois qu'un code d'exploitation public est publié qui réduit considérablement le niveau de compétence nécessaire aux attaquants pour exploiter des serveurs non corrigés contre CVE-2020-6207.

'Bien que des exploits soient régulièrement publiés en ligne, cela n'a pas été le cas pour les vulnérabilités SAP, pour lesquelles les exploits accessibles au public ont été limités', a déclaré Onapsis Research Labs, qui a d'abord identifié l'exploit public après qu'il ait été signalé. a été posté par un chercheur en sécurité sur GitHub. . dans un rapport publié plus tôt cette semaine.

'La publication d'un exploit public augmente considérablement le risque d'une tentative d'attaque, car elle étend les attaquants potentiels non seulement aux experts ou aux professionnels de SAP, mais également aux script kids ou aux attaquants moins expérimentés qui peuvent désormais tirer parti des outils publics pour eux-mêmes'.

Chaîne de fixation CVE-2020-6207

Chaîne de fixation CVE-2020-6207 ( Onapsis )

Impact d'une attaque réussie

Les attaques qui exploitent avec succès cette vulnérabilité exposeront pratiquement toutes les applications SAP, les processus métier et les données d'une organisation à l'exfiltration ou à la falsification, et compromettront tous les systèmes gérés qui utilisent l'instance SolMan compromise.

Pour aggraver les choses, SolMan est systématiquement ignoré lors de la mise en œuvre des politiques de correctifs et respecte généralement des politiques distinctes, souvent obsolètes.

'Un exploit réussi pourrait permettre à un attaquant distant non authentifié d'effectuer des tâches administratives hautement privilégiées sur des agents SAP SMD liés (les systèmes satellites connectés à SolMan peuvent également être affectés)', Onapsis Additionnel .

'Il n'est pas possible de répertorier tout ce qui peut potentiellement être fait sur les systèmes en cas d'exploitation, car le fait d'avoir un contrôle administrateur privilégié sur les systèmes ou d'exécuter des commandes du système d'exploitation le rend essentiellement illimité pour un attaquant.'

Cependant, Onapsis a mis en évidence les activités malveillantes possibles suivantes que les attaquants pourraient effectuer après avoir compromis un serveur SolMan :

  • Arrêtez n'importe quel système SAP dans le panorama (pas seulement SAP SolMan)
  • Provoquer des lacunes dans le contrôle informatique qui affectent l'intégrité financière et la confidentialité, entraînant des violations de la conformité réglementaire, telles que Sarbanes-Oxley (SOX), GDPR, etc.
  • Suppression de toutes les données des systèmes SAP, y compris les données clés pouvant entraîner des interruptions d'activité
  • Attribuez des privilèges de super utilisateur (par exemple, SAP_ALL) à tout utilisateur nouveau ou existant, permettant à ces utilisateurs d'effectuer des opérations commerciales qui nécessiteraient normalement des privilèges spécifiques pour contourner d'autres contrôles de séparation des tâches (SoD)
  • Lire les données sensibles de la base de données, y compris les informations personnelles des employés et des clients

Pour atténuer pleinement les attaques tentant d'exploiter CVE-2020-6207 sur leurs systèmes SAP, les organisations doivent appliquer la mise à jour de sécurité publiée par SAP en mars 2020.

Le chercheur en sécurité qui a publié le code d'exploitation CVE-2020-6207 sur GitHub a également publié une vulnérabilité de preuve de concept pour une autre vulnérabilité grave d'exécution de code à distance dans le composant SAP NetWeaver AS JAVA, découverte et nommée RECON par Onapsis.

Onapsis a également découvert et divulgué des informations sur des exploits critiques accessibles au public ciblant des installations SAP mal configurées, collectivement appelés 10KBLAZE.

Ces exploits ont exposé environ 90 % des quelque 1 000 000 systèmes de production SAP estimés au risque potentiel de violation en cas de mauvaise configuration.

Qu'est-ce que tu penses?