La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) se movió el jueves para agregar un falla crítica de seguridad de SAP a su Catálogo de vulnerabilidades explotadas conocidasbasado en evidencia de explotación activa.
El asunto en cuestión es CVE-2022-22536que recibió la puntuación de riesgo más alta posible de 10,0 en el sistema de puntuación de vulnerabilidad CVSS y fue abordada por SAP como parte de sus actualizaciones del martes de parches para febrero de 2022.
Descrita como una vulnerabilidad de contrabando de solicitudes HTTP, la deficiencia afecta a las siguientes versiones del producto:
- SAP Web Dispatcher (Versiones – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
- Servidor de contenido SAP (Versión – 7.53)
- Plataforma SAP NetWeaver y ABAP (versiones: KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.42EXT)
«Un atacante no autenticado puede anteponer la solicitud de una víctima con datos arbitrarios, lo que permite la ejecución de funciones haciéndose pasar por la víctima o envenenando los cachés web intermediarios», dijo CISA en una alerta.
«Una simple solicitud HTTP, indistinguible de cualquier otro mensaje válido y sin ningún tipo de autenticación, es suficiente para una explotación exitosa», Onapsis, que descubierto la falla, notas. «En consecuencia, esto hace que sea más fácil para los atacantes explotarlo y más desafiante para la tecnología de seguridad, como firewalls o IDS/IPS, para detectarlo (ya que no presenta una carga útil maliciosa)».
Aparte de la debilidad de SAP, la agencia agregó nuevas fallas reveladas por Apple (CVE-2022-32893 y CVE-2022-32894) y Google (CVE-2022-2856) esta semana, así como errores relacionados con Microsoft documentados previamente (CVE-2022-21971 y CVE-2022-26923) y una vulnerabilidad de ejecución remota de código en Palo Alto Networks PAN-OS (CVE-2017-15944puntaje CVSS: 9.8) que fue divulgado en 2017.
CVE-2022-21971 (puntuación CVSS: 7,8) es una vulnerabilidad de ejecución remota de código en Windows Runtime que Microsoft resolvió en febrero de 2022. CVE-2022-26923 (puntuación CVSS: 8,8), corregida en mayo de 2022, se relaciona con un privilegio falla de escalamiento en los servicios de dominio de Active Directory.
«Un usuario autenticado podría manipular los atributos en las cuentas de computadora que posee o administra, y adquirir un certificado de los Servicios de certificados de Active Directory que permitiría la elevación de privilegios al Sistema», describe Microsoft en su aviso para CVE-2022-26923.
La notificación CISA, como suele ser el caso, es ligera en detalles técnicos de los ataques en estado salvaje asociados con las vulnerabilidades para evitar que los actores de amenazas se aprovechen aún más de ellas.
Para mitigar la exposición a amenazas potenciales, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen el mandato de aplicar los parches correspondientes antes del 8 de septiembre de 2022.