As plataformas SAP HANA acabam de ser consideradas vulneráveis, contendo várias falhas de alto risco. Na exploração, as vulnerabilidades podem permitir que um invasor assuma o controle remoto total da plataforma, sem precisar de nome de usuário e senha. As vulnerabilidades foram descobertas por Onapsis.
Conforme explicado por Sebastian Bortnik, Chefe de pesquisa da Onapsis, “este nível de acesso permitiria a um invasor realizar qualquer ação sobre as informações e processos de negócios suportados pelo HANA, incluindo a criação, roubando, alterar e / ou excluir informações confidenciais.”
relacionado: CVE-2017-5638 Patchado, mas ainda está em ataque, Empresas em Risco
A exploração dessas falhas pode fazer com que as organizações envolvam muitas consequências graves.
Quais componentes do HANA as vulnerabilidades afetam?
As falhas afetam o componente SAP HANA User Self Service, que não é habilitado por padrão. Sobre as versões do HANA, aqui está a lista exata:
– SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057)
– SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437)
– SAP HANA SPS11 (1.00.110.144775). Lançado em novembro 2015
– SAP HANA SPS10 (1.00.101.00.1435831848). Lançado em junho 2015
– SAP HANA SPS09 (1.00.91.1418659308). Lançado em novembro 2014.
Mais sobre a ferramenta de autoatendimento para SAP HANA
A ferramenta permite que os usuários ativem recursos adicionais, como alteração de senha, redefinir senha esquecida, auto-registro do usuário. Existem algumas vulnerabilidades encontradas no componente, e eles foram marcados com CVSS v3 Base Score de 9.80, Pesquisadores da Onapsis explicam.
Se explorado com sucesso, as vulnerabilidades podem permitir que um invasor se faça passar por outros usuários, mesmo os mais privilegiados. Como mencionado no início, a plataforma pode ser comprometida remotamente sem a necessidade de credenciais de login.
relacionado: ESET CVE-2016-9892 falha expõe Macs a execução remota de código
Os pesquisadores descobriram as falhas no último SAP HANA 2 plataforma, mas depois percebi que algumas versões mais antigas também eram vulneráveis. Suas descobertas levaram à conclusão problemática de que as falhas estavam presentes na plataforma por aproximadamente dois anos e meio. Foi quando o componente User Self Service foi introduzido pela primeira vez. Infelizmente, este longo período de tempo sugere que as vulnerabilidades já foram descobertas por invasores mal-intencionados para comprometer organizações que executam sistemas SAP.
Sobre como as organizações devem lidar com essas vulnerabilidades, Sebastian Bortnik disse:
Esperamos que as organizações usem essa inteligência de ameaças para avaliar seus sistemas e confirmar que não estão usando este componente no momento, e, portanto, não são afetados por esses riscos. Mesmo se o serviço não estiver habilitado, ainda recomendamos que essas organizações apliquem os patches no caso de uma alteração no sistema no futuro.