22 ene. 2021

Exploit RCE en SAP Solution Manager (SolMan) - CVE-2020-6207

Se detectaron escaneos automatizados para servidores que contienen una vulnerabilidad grave en el software de SAP una semana después de que se publicara un exploit funcional. La vulnerabilidad, rastreada como CVE-2020-6207, es un error en SAP Solution Manager (SolMan), versión 7.2.

A la vulnerabilidad se le ha otorgado una puntuación base CVSS de 10, la clasificación de gravedad más alta disponible, y se debe a una comprobación de autenticación faltante.

SolMan es una aplicación centralizada que se utiliza para administrar sistemas de TI en las instalaciones, híbridos y en la nube. Al describir el error en Black Hat USA [PDF] en agosto, los investigadores de Onapsis llamaron a la aplicación el "corazón técnico del panorama de SAP".

La función de Monitoreo de la experiencia del usuario final (EEM) de SolMan contenía el problema de autenticación. EEM se puede utilizar para implementar scripts en otros sistemas y, como resultado, comprometer EEM puede conducir al secuestro de "todos los sistemas" conectados a SolMan a través de la ejecución remota de código (RCE), según Onapsis.

SAP emitió un parche para CVE-2020-6207 en marzo de 2020 (Nota de seguridad de SAP #2890213). Sin embargo, para cualquier servidor que no se haya actualizado, ahora existe un mayor riesgo de compromiso con el lanzamiento público de un código de explotación de prueba de concepto (PoC) que funcione.

La semana pasada, Dmitry Chastuhin lanzó un PoC como un proyecto con fines educativos. El investigador de seguridad dijo que "el script verifica y explota las verificaciones de autenticación que faltan en el servlet SAP EEM".

Onapsis dijo que ya se han detectado "cientos de solicitudes" en Internet, de probablemente de herramientas automatizadas, y están investigando los sistemas SAP que aún son vulnerables a la vulnerabilidad crítica. La firma de ciberseguridad cree que las herramientas se desarrollaron rápidamente después del lanzamiento del código PoC. Las solicitudes provienen principalmente de Europa y Asia y hasta ahora se han documentado una variedad de IP.

Si el personal de TI de la empresa ha aplicado el parche, no hay por qué preocuparse. Sin embargo, si la solución de seguridad aún no se ha implementado y las configuraciones de SolMan están expuestas en línea, la creación de herramientas automatizadas de explotación debería estimular a los administradores a resolver la falla de seguridad lo más rápido posible.

"Si bien los exploits se lanzan regularmente en línea, este no ha sido el caso de las vulnerabilidades de SAP, para las cuales los exploits disponibles públicamente han sido limitados", dice Onapsis. "El lanzamiento de un exploit público aumenta significativamente la posibilidad de un intento de ataque, ya que también expande a los atacantes potenciales no solo a expertos o profesionales de SAP, sino también a script-kiddies o atacantes menos experimentados que ahora pueden aprovechar las herramientas públicas en lugar de crear los suyos".

Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!