SAP’nin ABAP platformu teknolojisi için Uygulama Sunucusunda iş açısından kritik uygulamalar çalıştıran kuruluşlar, Trooper’ın bu hafta Almanya’da düzenlenen siber güvenlik konferansında sunulan teknik bir makalenin ayrıntılarını okumak ve dikkate almak isteyebilir.
Araştırma şirketi SEC Consult tarafından hazırlanan makale, SAP’nin NetWeaver Uygulama Sunucusu ABAP’ın tüm sürümlerinde ve sürümlerinde Uzak İşlev Çağrısı (RFC) iletişim arabiriminin sunucu tarafı uygulamasındaki dört kritik güvenlik açığı için teknik ayrıntılar ve kavram kanıtlama kodu sağlıyor. ve ABAP platformu (AS ABAP).
ABAP Çekirdeği Kusurlardan En Az Birinden Etkileniyor
Güvenlik açıkları, saldırganlara etkilenen sistemlerde uzaktan rasgele kod yürütme, kritik verilere erişme, aynı ağdaki diğer SAP sistemlerine yanal olarak hareket etme ve diğer kötü amaçlı eylemleri gerçekleştirme yolu sağlar. Kusurlardan en az biri ABAP çekirdeğinde bulunuyor, bu da çok sayıda SAP ürününün etkilendiği anlamına geliyor.
SEC Consult, müşterilere sorunlar hakkında uyarıda bulunduğu bir notta, “Kimliği doğrulanmamış uzaktan saldırganlar, savunmasız uygulama sunucularının tam kontrolünü ele geçirmek için belirlenen sorunlardan yararlanabilir. Bu, verilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin tamamen tehlikeye girmesine neden olabilir.” uyarıyı Dark Reading ile de paylaştı.
SEC Consult’daki araştırmacılar, son iki yılda SAP’nin güvenlik açıklarını keşfetti ve bildirdi. İlkini 2020’nin sonunda, sonuncusunu da bu yılın başlarında belirlediler. SAP, SEC Consult’un bunları şirkete bildirmesinden kısa bir süre sonra tanımlanan sorunların her biri için yamalar yayınladı. Buna rağmen SEC Consult, SAP’nin sorunları düzgün bir şekilde ele alması için yeterli zamana sahip olmasını sağlamak amacıyla kusurların teknik ayrıntılarını açıklamak için şimdiye kadar bekledi.
SEC Consult Güvenlik Açığı Laboratuvarı başkanı Johannes Greil, “Belirlenen güvenlik açıkları, ABAP çekirdeği etkilendiği için birçok farklı SAP ürününü etkiledi” diyor. “Bu nedenle, tüm bu ürünler için düzeltmeleri hafifletmek ve test etmek/doğrulamak için kapsamlı bir çalışma yapılması gerekiyordu.”
Güvenlik açıkları için teknik ayrıntılar ve POC’ler artık kullanılabilir hale geldiğinden, tehdit aktörleri hedefli saldırılar düzenlemek için bilgiye sahipler, diyor. Dolayısıyla yamasız sistemler kuruluşlar için risk oluşturabilir. Greil, “Tavsiyemiz – daha önce yapılmadıysa – yamaları ve gerekli yapılandırma değişikliklerini, sorunlar kritik risk oluşturduğundan hemen uygulamaktır,” diyor. “Yüksek iş riski nedeniyle, birkaç ay önce Mart 2023’te birçok müşteriyi de bilgilendirdik ve onları yama yapmaya çağırdık.”
Dört Böceğin Ayrıntıları
SEC Consult’un keşfedip SAP’ye bildirdiği dört güvenlik açığı CVE-2021-27610, CVE-2021-33677, CVE-2021-33684 ve CVE-2023-0014’tür.
CVE-2021-27610, AS ABAP’ta, saldırganların etkilenen sistemlerde ayrıcalıkları artırmasına olanak tanıyan bir kimlik doğrulama atlama güvenlik açığıdır. Güvenlik açığı, saldırganlara savunmasız bir sistemle kendi iletişimlerini kurma ve kullanıcı hesaplarını taklit etmek ve güvenilir bir kimlik talep etmek için sızan kimlik bilgilerini yeniden kullanma yolu sağlar. SEC Consult, başarılı bir sömürünün tam sistem uzlaşmasına yol açabileceğini söyledi.
SEC Consult, CVE-2021-33677’yi AutoABAP/bgRFC Arayüzünde bir saldırganın kullanıcı hesaplarını uzaktan numaralandırmasına ve savunmasız hizmetin hedeflenen ana bilgisayarlara ve bağlantı noktalarına belirli istekleri yürütmesine olanak tanıyan bir bilgi ifşa güvenlik açığı olarak tanımladı. CVE-2021-33684, bir saldırganın süreçleri uzaktan çökertmek, uzaktan kod yürütme elde etmek ve verileri bozmak için yararlanabileceği bir bellek bozulması hatasıdır. SEC Consult’un SAP’ye bildirdiği dört kusurdan en sonuncusu olan CVE-2023-0014, SAP sistem ortamlarında yanal harekete olanak sağlayan bir tasarım sorunudur.
Greil, güvenlik açıklarının çoğunu kritik olarak tanımlıyor, özellikle bir araya geldiklerinde kolayca yanal harekete izin veren CVE-2023-0014 ve CVE-2021-27610. Greil, “2023’ten mevcut olan özellikle önemlidir, çünkü ek gerekli yapılandırma değişiklikleri nedeniyle yama yapmak için daha fazla çaba gerektirir,” diyor. SAP teknolojisi yığını ve adlandırma kuralları, olağan BT güvenlik protokollerinden farklı olduğu için, yanal saldırılar gerçekleştirmek ve saldırı zincirinden yararlanmak için biraz daha derin teknik SAP anlayışının gerekli olacağını belirtiyor. Greil, “Arabellek taşması da yüksek riskli çünkü kimlik doğrulamadan önce istismar edilebilir. Ancak uzaktan kod yürütmeyi doğrulamadık” diyor.
Güvenlik açıkları, SAP ERP Central Component (ECC), SAP S/4HANA, SAP Business Warehouse (BW), SAP Solution Manager (SolMan), SAP for Oil & Gas (IS Oil&Gas) dahil olmak üzere çok çeşitli iş açısından kritik SAP ürünlerinde mevcuttur. , SAP for Utilities (IS-U) ve SAP Tedarikçi İlişkileri Yönetimi (SRM).