SAP lanza parches para vulnerabilidades de ICMAD, problemas de log4j y más

SAP ha reparado tres vulnerabilidades con CVSS de 10, 8.1 y 7.5 después de que fueran descubiertas por la firma de ciberseguridad Onapsis.

Los parches formaban parte de un grupo de 19 notas de seguridad publicadas por la empresa sobre una variedad de problemas de seguridad. Tres de las vulnerabilidades estaban relacionadas con log4j y tenían un CVSS de 10.

Las vulnerabilidades encontradas por Onapsis, denominadas «ICMAD», permiten a los atacantes ejecutar actividades maliciosas graves en los usuarios de SAP, la información comercial y los procesos, lo que finalmente compromete las aplicaciones de SAP sin parches. Los problemas giran en torno a Internet Communication Manager (ICM) de SAP, un componente central de muchas de sus aplicaciones.

ICM es el componente de SAP que permite las comunicaciones HTTP(S) en los sistemas SAP. Debido a que ICM está expuesto a Internet y redes no confiables por diseño, las vulnerabilidades en este componente tienen un mayor nivel de riesgo, explicaron las compañías.

JP Perez-Etchegoyen, CTO de Onapsis, dijo MarketingyPublicidad.es que con una sola solicitud, un atacante podría robar todas las sesiones y credenciales de la víctima en texto sin formato y modificar el comportamiento de las aplicaciones.

«El abuso de estas vulnerabilidades podría ser simple para un atacante, ya que no requiere autenticación previa, no requiere condiciones previas necesarias, y la carga útil se puede enviar a través de HTTP (S)», dijo Pérez-Etchegoyen.

SAP ha publicado dos notas de seguridad sobre los problemas, y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió su propio aviso instando a los clientes a implementar el parche.

“Estas vulnerabilidades pueden explotarse a través de Internet y sin necesidad de que los atacantes estén autenticados en los sistemas de destino, lo que las hace muy críticas”, dijo Mariano Núñez, CEO y cofundador de Onapsis.

Continuó explicando que Onapsis Research Labs había estado investigando problemas de contrabando de HTTP durante el último año antes de descubrir los problemas de SAP.

Los actores de amenazas, según Onapsis, pueden enviar cargas maliciosas aprovechando estas técnicas de contrabando de HTTP y explotar con éxito los sistemas SAP Java o ABAP con una solicitud HTTP que no se puede distinguir de un mensaje válido. Estas vulnerabilidades pueden explotarse en los sistemas afectados a través de Internet y la autenticación previa, lo que significa que no están mitigadas por los controles de autenticación de múltiples factores, agregó Onapsis.

«SAP se ha asociado con Onapsis para mantener soluciones seguras para nuestra base de clientes global», dijo Richard Puckett, director de seguridad de la información de SAP. «Es a través de la colaboración con socios clave como Onapsis que SAP puede proporcionar el entorno más seguro posible para nuestros clientes. Recomendamos encarecidamente a todos los clientes de SAP que protejan sus negocios mediante la aplicación de los parches de seguridad de SAP pertinentes lo antes posible».

SAP dijo que no tiene conocimiento de ninguna violación de datos que resulte de los actores de amenazas que explotaron la vulnerabilidad, pero instó a los clientes a aplicar las notas de seguridad.

onapsis liberado una herramienta gratuita que los clientes de SAP pueden usar para escanear sus sistemas en busca de aplicaciones afectadas.

Aaron Turner, vicepresidente de Vectra, dijo que lo que aprendimos en marzo de 2021 con el ataque Hafnium dirigido a servidores Exchange locales se está reproduciendo en el ecosistema SAP.

«Los servidores SAP son objetivos extremadamente ricos, con un acceso significativo a los procesos comerciales materiales y, por lo general, tienen múltiples credenciales privilegiadas almacenadas y utilizadas en esos servidores. Con la investigación de Onapsis, descubrieron una ruta de explotación que permite a los atacantes obtener acceso a esas credenciales privilegiadas para moverse lateralmente dentro de la red local y también pivotar hacia la nube, ya que la mayoría de los clientes de SAP han federado sus cargas de trabajo SAP heredadas con las basadas en la nube», dijo Turner.

«Al igual que Hafnium permitió a los atacantes pasar de Exchange local a M365, esta ruta de ataque de SAP podría permitir lo mismo. Las actualizaciones de seguridad de SAP serán fundamentales para instalar, no solo para proteger los servidores SAP locales, sino también cualquier sistema. , local o en la nube, que pueden compartir credenciales o relaciones de confianza con esos servidores».

Deja un comentario