SAP’nin ABAP platformu teknolojisi için Uygulama Sunucusunda iş açısından kritik uygulamalar çalıştıran kuruluşlar, Trooper’ın bu hafta Almanya’da düzenlenen siber güvenlik konferansında sunulan teknik bir makalenin ayrıntılarını okumak ve dikkate almak isteyebilir.
Araştırma şirketi SEC Consult tarafından hazırlanan makale, SAP NetWeaver’ın tüm sürümlerinde ve sürümlerinde Uzak İşlev Çağrısı (RFC) iletişim arabiriminin sunucu tarafı uygulamasındaki dört kritik güvenlik açığı için teknik ayrıntılar ve kavram kanıtı (PoC) kodu sağlar. Uygulama Sunucusu ABAP ve ABAP platformu (AS ABAP).
ABAP Çekirdeği Kusurlardan En Az Birinden Etkileniyor
Güvenlik açıkları, saldırganlara etkilenen sistemlerde uzaktan rasgele kod yürütme, kritik verilere erişme, aynı ağdaki diğer SAP sistemlerine yanal olarak hareket etme ve diğer kötü amaçlı eylemleri gerçekleştirme yolu sağlar. Kusurlardan en az biri ABAP çekirdeğinde bulunuyor, bu da çok sayıda SAP ürününün etkilendiği anlamına geliyor.
SEC Consult, müşterilere sorunlar hakkında uyarıda bulunduğu bir notta, “Kimliği doğrulanmamış uzaktan saldırganlar, savunmasız uygulama sunucularının tam kontrolünü ele geçirmek için belirlenen sorunlardan yararlanabilir. Bu, verilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin tamamen tehlikeye girmesine neden olabilir.” uyarıyı Dark Reading ile de paylaştı.
SEC Consult’daki araştırmacılar, son iki yılda SAP’nin güvenlik açıklarını keşfetti ve bildirdi. İlkini 2020’nin sonunda, sonuncusunu da bu yılın başlarında belirlediler. SAP, SEC Consult’un bunları şirkete bildirmesinden kısa bir süre sonra tanımlanan sorunların her biri için yamalar yayınladı. Buna rağmen SEC Consult, SAP’nin sorunları düzgün bir şekilde ele alması için yeterli zamana sahip olmasını sağlamak amacıyla kusurların teknik ayrıntılarını açıklamak için şimdiye kadar bekledi.
SEC Consult Güvenlik Açığı Laboratuvarı başkanı Johannes Greil, “Belirlenen güvenlik açıkları, ABAP çekirdeği etkilendiği için birçok farklı SAP ürününü etkiledi” diyor. “Bu nedenle, tüm bu ürünler için düzeltmeleri hafifletmek ve test etmek/doğrulamak için kapsamlı bir çalışma yapılması gerekiyordu.”
İle teknik detaylar ve artık mevcut olan kusurlar için kavram kanıtları (PoC’ler), tehdit aktörlerinin hedefli saldırılar düzenlemek için bilgileri olduğunu söylüyor. Dolayısıyla yamasız sistemler kuruluşlar için risk oluşturabilir. Greil, “Tavsiyemiz – daha önce yapılmadıysa – yamaları ve gerekli yapılandırma değişikliklerini, sorunlar kritik risk oluşturduğundan hemen uygulamaktır,” diyor. “Yüksek iş riski nedeniyle, birkaç ay önce Mart 2023’te birçok müşteriyi de bilgilendirdik ve onları yama yapmaya çağırdık.”
Dört Böceğin Ayrıntıları
SEC Consult’un sunduğu dört güvenlik açığı keşfedildi ve SAP’ye bildirildi CVE-2021-27610, CVE-2021-33677, CVE-2021-33684 ve CVE-2023-0014’tür.
CVE-2021-27610 AS ABAP’ta, saldırganların etkilenen sistemlerde ayrıcalıkları artırmasına izin veren bir kimlik doğrulama atlama güvenlik açığıdır. Güvenlik açığı, saldırganlara savunmasız bir sistemle kendi iletişimlerini kurma ve kullanıcı hesaplarını taklit etmek ve güvenilir bir kimlik talep etmek için sızan kimlik bilgilerini yeniden kullanma yolu sağlar. SEC Consult, başarılı bir sömürünün tam sistem uzlaşmasına yol açabileceğini söyledi.
SEC Danışmanlığı açıklandı CVE-2021-33677 AutoABAP/bgRFC Arayüzünde bir saldırganın kullanıcı hesaplarını uzaktan sıralamasına ve savunmasız hizmetin hedeflenen ana bilgisayarlara ve bağlantı noktalarına belirli istekleri yürütmesine olanak tanıyan bir bilgi ifşa güvenlik açığı olarak. CVE-2021-33684 bir saldırganın süreçleri uzaktan çökertmek, uzaktan kod yürütme elde etmek ve verileri bozmak için kullanabileceği bir bellek bozulması hatasıdır. CVE-2023-0014SEC Consult’un SAP’ye bildirdiği dört kusurdan en sonuncusu, SAP sistem ortamlarında yanal hareketi sağlayan bir tasarım sorunudur.
Greil, güvenlik açıklarının çoğunu kritik olarak tanımlıyor, özellikle bir araya geldiklerinde kolayca yanal harekete izin veren CVE-2023-0014 ve CVE-2021-27610. Greil, “2023’ten mevcut olan özellikle önemlidir, çünkü ek gerekli yapılandırma değişiklikleri nedeniyle yama yapmak için daha fazla çaba gerektirir,” diyor. SAP teknolojisi yığını ve adlandırma kuralları, olağan BT güvenlik protokollerinden farklı olduğu için, yanal saldırılar gerçekleştirmek ve saldırı zincirinden yararlanmak için biraz daha derin teknik SAP anlayışının gerekli olacağını belirtiyor. Greil, “Arabellek taşması da yüksek riskli çünkü kimlik doğrulamadan önce istismar edilebilir. Ancak uzaktan kod yürütmeyi doğrulamadık” diyor.
Güvenlik açıkları, SAP ERP Central Component (ECC), SAP S/4HANA, SAP Business Warehouse (BW), SAP Solution Manager (SolMan), SAP for Oil & Gas (IS Oil&Gas) dahil olmak üzere çok çeşitli iş açısından kritik SAP ürünlerinde mevcuttur. , SAP for Utilities (IS-U) ve SAP Tedarikçi İlişkileri Yönetimi (SRM).