W sieci pojawił się zestaw narzędzi, które celują w złamanie (lub będąc dokładniejszym – wykorzystanie luk) dostępu do SAP.
Nazywa się 10KBLAZE i przy spełnieniu pewnych kryteriów (o których poniżej) pozwala na bez autoryzacyjny dostęp do danych SAP.

Czy jest się czym martwić?

3 maja 2019 DHS (Department of Homeland Security) opisał w dokumencie „Alert (AA19-122A) New Exploits for Unsecure SAP Systems” (link poniżej) szczegóły. 10KBLAZE wykorzystuje podatności, które znane są od co najmniej kilku lat i SAP na nie odpowiednio zareagował. Niemniej, ze względu na to, że co najmniej jeden z elementów ataku opiera się na standardowych ustawieniach SAP (domyślnie zatem nie znaczy bezpiecznie) – warto potwierdzić sobie, czy architektura SAP oprze się tym atakom.

Historia

Od co najmniej 2012 są znane wykorzystywane podatności i zawarte zostały one uwzględnione w notach. Badacze są obecnie w stanie namierzyć ponad 1000 systemów SAP w samych Stanach Zjednoczonych (ponad 700 w Niemczech, brak danych o Polsce).

Podczas konferencji 19 maja 2019 badacze przedstawili wykorzystanie domyślnej konfiguracji SAP Gateway i plików secinfo, które prowadzą do podatności, jeśli SAP Message Server nie jest skonfigurowany odpowiednio.

Ruszyła lawina wpisów, świadczących o tym, że panikować należy. Nie do końca z tym się zgadzam, gdyż po pierwsze podatności są znane od lat, po drugie należy spełnić szereg kryteriów (o których poniżej) by być podatny.

Scenariusz

Przede wszystkim należy podkreślić, że jeśli SAP Gateway jest skonfigurowany w sposób bezpieczny – nawet niebezpieczna konfiguracja SAP Message Server NIE doprowadzi do RCE (remote code execution – zdalne wykonanie kodu). Aby być podatnym na RCE należy spełnić następujące warunki (tylko WSZYSTKIE podane poniżej razem sprawią, że Twój SAP będzie podatny na 10KBLAZE):
1
– SAP Message Server port (39XX) jest wystawiony na zewnątrz (lub do intranetu).2 – SAP Message Server ACL jest niebezpiecznie skonfigurowany (niestety jest do domyślne ustawienie SAP).3 – Konfiguracja SAP Gateway secinfo USER-HOST= INTERNAL, lub po prostu jest niebezpiecznie skonfigurowany (w tym ostatnim przypadku jest to podatność sama w sobie, niezależnie od SAP Message Server).4 – Atakujący posiada fizyczny dostęp do Twojej sieci (chyba, że Gateway jest eksponowany do Internetu. 

Tylko w przypadku spełnienia wszystkich warunków – SAP jest podatny na atak 10KBLAZE.

Bonus:

Potwierdź, że SAP Message Server jest skonfigurowany bezpiecznie. Istnieje bowiem możliwość podsłuchania loginów i haseł logowania.


Czy panikować?

Jeśli Twój SAP przykłada uwagę do SAP notes jest niezwykle mało prawdopodobne, by opisane podatności miały rację bytu. Sugerujemy regularną weryfikację ustawień niezależnie od informacji z rynku SAP Security. A nasi specjaliści chętnie w tym pomogą.   
przypisy:
https://www.us-cert.gov/ncas/alerts/AA19-122Ahttps://sast-blog.akquinet.com/2019/05/10/10kblaze-and-sap-security/https://sast-blog.akquinet.com/2019/05/10/10kblaze-sap-security/ autor /Tomasz Jurgielewicz/