Exploit activo puede aprovechar vulnerabilidad crítica de SAP Solution Manager

25 Enero 2021
Crítico

Código de explotación completamente funcional y PoC (prueba de concepto) están disponibles y públicos para una vulnerabilidad de autenticación crítica (CVE-2020-6207) en SAP Solution Manager (SolMan), plataforma de gestión de soluciones.

La vulnerabilidad de criticidad 10 sobre 10 fue revelada y parcheada por SAP en marzo de 2020, sin embargo, es la primera vez que se publica un código de explotación que reduce de manera drástica la complejidad del ataque para un usuario no autenticado.

El exploit fue descubierto en la plataforma de alojamiento de código GitHub por Onapsis Research Labs.

CVE-2020-6207

La falla identificada como CVE-2020-6207, es una vulnerabilidad de autenticación faltante en el  componente EEM Manager de SolMan, lo que significa que un atacante puede autenticarse en sistemas vulnerables simplemente intentando conectarse.

Esta vulnerabilidad resulta en el compromiso total de todos los SMDAgents (agentes de monitoreo de comunicación, generalmente instalados en servidores que ejecutan aplicaciones SAP) conectados al Solution Manager. 

Explotación exitosa

Una explotación exitosa podría permitir que un atacante remoto no autenticado ejecute tareas administrativas altamente privilegiadas en los agentes SAP SMD conectados (los sistemas satélite conectados a SolMan también pueden verse afectados).

Un atacante con control de SAP SolMan podría: 

  • Apagar cualquier sistema SAP en el panorama
  • Hacer que TI controle las deficiencias que afectan la integridad financiera y la privacidad, lo que lleva a infracciones de cumplimiento normativo
  • Eliminar cualquier dato en los sistemas SAP, lo que provoca interrupciones comerciales
  • Asignar privilegios de superusuario a cualquier usuario nuevo o existente, permitiendo a esos ejecutar operaciones críticas
  • Leer datos confidenciales de la base de datos tanto de empleados como de clientes

Investigadores de Massachusetts han alertado que “No es posible enumerar todo lo que se puede hacer en los sistemas si se explota, ya que tener un control de administrador privilegiado sobre los sistemas o ejecutar comandos del sistema operativo básicamente lo hace ilimitado para un atacante".

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #SAP #SolMan #Exploit #Crítico #Parche


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.