Exploit 10KBLAZE – gotowe rozwiązanie do ataku na SAP

Wpis głównie dla administratorów SAP, jednak sugeruję zapoznanie się ze zjawiskiem, które według mnie będzie coraz powszechniejsze. Na początku maja tego roku DHS (United States Department of Homeland Security)  opisał możliwość ataku przez dedykowany exploit (zestaw gotowych narzędzi), które adresuje w atak na SAP. Atak pozwala na możliwość wykonania kodu (RCE – remote code execution), co z kolei prowadzi do możliwości przejęcia całego systemu.

Exploit wykorzystuje luki znane od 2012 roku, jednak ze względu na to, że tematy łat nie zawsze są w 100% adresowane – istnieje sporo systemów podatnych (raporty pokazują około 1000 systemów w samych Stanach Zjednoczonych i około 700 w Niemczech).

Exploit pozwala na RCE , a spełnienie poniższych warunków oznacza, że system jest podatny:

  1. SAP Message Server port (39XX) jest wystawiony na zewnątrz (lub do intranetu) – proszę zauważyć, że jest to domyślny port.
  2. SAP Message Server ACL jest skonfigurowany domyślnie.
  3. Konfiguracja SAP Gateway secinfo USER-HOST= INTERNAL, lub po prostu jest niebezpiecznie skonfigurowany (w tym ostatnim przypadku jest to podatność sama w sobie, niezależnie od SAP Message Server).
  4. Atakujący posiada fizyczny dostęp do Twojej sieci (chyba, że Gateway jest eksponowany do Internetu).

Pocieszać może fakt konieczności obecności atakującego w sieci (przy założeniu braku eksponowania do Internetu) oraz to, że luki są znane i odpowiednio zaadresowane przez SAP. Niestety:

  • przy coraz bardziej wyrafinowanych atakach socjotechnicznych – potencjalne wejście do sieci wewnętrznej jest realne,
  • brak odpowiednich działań naprawczych (odpowiedniej konfiguracji) – może stanowić ryzyko.

Dodatkowo garść informacji:

Zostaw komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.