Мартовский набор обновлений от SAP включает патч для критической уязвимости в GUI-клиенте, обеспечивающем удаленный доступ к центральному серверу SAP в корпоративной сети.

Некоторые подробности данной уязвимости и PoC-эксплойт представители ERPScan вчера представили на ИБ-конференции TROOPERS, проходящей в Германии. По словам исследователей, обнаруженная ими брешь (CVE-2017-6950) позволяет удаленно загрузить код, который будет исполнен в уязвимом клиенте. В том случае, если этот код – вымогательское ПО, в заложниках могут оказаться критически важные бизнес-данные.

В ERPScan сочли новую находку самым опасным багом в продуктах SAP за последние пять с лишним лет. Эксперты полагают, что по охвату с ним может сравниться разве что возможность атаки verb tampering, продемонстрированной на конференции Black Hat в 2011 году. Уязвимость CVE-2017-6950, по данным SAP, затрагивает ее GUI для Windows 7.20 и 7.30, а также GUI для Windows 7.40 Core SP012 и 7.50 CORE SP000.

«У нас нет информации или свидетельств эксплойта этой уязвимости у клиентов, однако советуем всем незамедлительно пропатчить инфраструктуру, – заявил представитель SAP в комментарии Threatpost. – Патч для SAP GUI следует устанавливать в зависимости от конкретной среды, используя стандартные инструменты распространения и обновления клиентского ПО (они также предоставляются для ПО пользователя, установленного по лицензиям других вендоров)».

Для проведения атаки ее автору, по свидетельству ERPScan, придется вначале скомпрометировать SAP-сервер, поддерживающий Java и проприетарный язык программирования ABAP, – к примеру, сервер NetWeaver. Эксперты предупреждают, что на настоящий момент в продуктах SAP содержится 3,8 тыс. известных уязвимостей, и, поскольку обновление систем связано с простоями, которые в бизнес-контексте нежелательны, латание критичных для работы серверов зачастую производится с задержкой.

«Ситуацию усугубляют два фактора, – поясняет Ваган Варданян, старший аналитик в ERPScan. – Во-первых, в данном случае процесс патчинга особенно трудоемок и длителен. Поскольку уязвимость присутствует на стороне клиента, администратору SAP придется устанавливать патч на все терминалы с SAP GUI в компании, а на типовом предприятии их тысячи. Во-вторых, каждому клиенту назначается уникальный адрес для платежа, что затрудняет процесс оплаты».

В опубликованном вчера отчете ERPScan сказано, что атаковать терминал с уязвимым SAP GUI можно с помощью ABAP-кода, автоматически исполняющего вредоносную программу – например, вымогательскую. «Каждый раз, когда пользователь [осуществляет вход] на зараженном SAP-сервере через SAP GUI, выполняется вредоносная транзакция по вызову программы на терминале, которая загружает вымогателя в SAP GUI, – пишут исследователи. – При очередной попытке запуска приложения SAP GUI вымогатель исполняется и блокирует пользователю вход на SAP-сервер».

Кроме CVE-2017-6950, злоумышленник может использовать другие уязвимости и получить доступ к произвольным файлам и директориям файловой системы SAP, в том числе к исходному коду и конфигурационным файлам. Сохранность критических бизнес-данных тоже окажется под вопросом.

«Ущерб будет зависеть от умения хакера и его воображения, так как данная уязвимость позволяет выполнить любой код, – комментирует Дмитрий Частухин, ведущий аналитик в ERPScan. – Например, злоумышленник может завладеть конфиденциальной информацией или удалить ее, а также попросту вывести из строя рабочие станции. SAP GUI установлен буквально на каждом ПК в компании, использующей SAP, поэтому уязвимость в нем открывает возможность для массовой эксплуатации».

SAP GUI установлен на рабочих станциях SAP, которыми пользуются 345 тыс. клиентов вендора и миллионы индивидуальных пользователей. По свидетельству Частухина, при латании SAP простои неизбежны, и компании могут медлить с установкой патчей. Более того, некоторые организации могут быть не в курсе, что ряд уязвимых SAP-сервисов включен по умолчанию или что у них установлен конкретный модуль.

В новый набор патчей от SAP также включена заплатка для брешей в HANA, по уровню опасности оцененных даже выше, чем GUI-баг. Эти уязвимости в совокупности позволяли без аутентификации получить полный доступ к системе.