10kBlaze, Exploits Que Están Afectando A Miles De Empresas Que Utilizan Aplicaciones SAP
Se ha detectado una gran actividad de ataques dirigidos a las empresas que utilizan SAP como sistema de gestión. A partir de una herramienta 10kblaze (pysap) que aprovecha errores de configuración conocidos de hace más de 10 años.
A raíz de la actualización de la herramienta pysap, las charlas de la conferencia OPCDE de Mathieu Geli y Dmitry Chastuhin, y de la publicación de las pruebas de concepto (PoC) del exploit dirigido a aplicaciones SAP ha aumentado exponencialmente los ataques a dichos sistemas.
Este ataque denominado 10kblaze no aprovecha ninguna vulnerabilidad conocida en el código de SAP, sino que su efecto se causa a partir de un problema de configuración de las ACL (Listas de control de acceso) se los servidores Message y Gateway, ya conocido desde 2005.
Se estima que 50.000 sistemas son vulnerables a esta explotación a partir de dichas configuraciones erróneas. Los exploits pueden darle al atacante un compromiso total de la plataforma, con la opción de alterar, extraer o modificar información confidencial de aplicaciones comerciales como SAP Business Suite, SAP ERP, SAP CRM, SAP S/4HANA, SAP Solution
Manager, SAP GRC Process and Access Control, SAP Process Integration/
Exchange Infrastructure (PI/XI), SAP SCM, y SAP SRM, entre otros.
Lo más preocupante es que un atacante tan solo necesita acceso a la IP y el puerto donde está corriendo el servicio y sería posible ejecutar código remoto en el servidor si este es vulnerable.
El problema con las ACL se produce porque SAP deshabilita esta opción en NetWeaver por defecto para permitir que las empresas adapten su producto a las necesidades de sus clientes.
Para mitigar el error de configuración es posible consultar las SAP Security Notes 821875 (2005), 1408081 (2009) y 1421005 (2010). En ellas se detallan los pasos necesarios para configurar las ACL en los servidores SAP Gateway y Message (es necesario iniciar sesión).
- 821875 – Security settings in the message server
- 1408081 – Basic settings for reg_info and sec_info
- 1421005 – Secure configuration of the message server
Más información:
Onapsis
https://www.onapsis.com/10kblaze
https://www.onapsis.com/blog/10kblaze
Segu-info
https://blog.segu-info.com.ar/2019/05/50000-empresas-con-sap-vulnerable.html
Us-cert
https://www.us-cert.gov/ncas/alerts/AA19-122A
Pysap
https://github.com/SecureAuthCorp/pysap
PoC
https://github.com/chipik/SAP_GW_RCE_exploit
https://github.com/gelim/sap_ms
Via: unaaldia.hispasec.com