A CISA – Cybersecurity and Infrastructure Security Agency, parte do DHS – Department of Homeland Security dos EUA emitiu no final da noite de ontem 13/7/2020 um alerta de emergência sobre uma grave vulnerabilidade em sistemas SAP. Trata-se de uma vulnerabilidade de nível de gravidade 10, o mais alto da classificação internacional. A exploração desta vulnerabilidade por um atacante pode permitir invasão total de sistemas corporativos.
A exploração bem-sucedida da falha abre a porta para os atacantes lerem e modificarem quaisquer registros financeiros; alterar detalhes bancários; ler informações de identificação pessoal (PII); administrar processos de compras; sabotar ou interromper operações; alcançar a execução de comandos do sistema operacional; e excluir ou modificar registros, logs e outros arquivos.
O alerta indica que o problema atinge por padrão os aplicativos SAP executados no SAP NetWeaver AS Java 7.3 e em versões mais recentes (até SAP NetWeaver 7.5). Praticamente todos os sistemas SAP são afetados. Sistemas SAP potencialmente vulneráveis incluem quaisquer soluções baseadas em Java SAP, tais como, mas não se limitando a:
- SAP Enterprise Resource Planning,
- SAP Product Lifecycle Management,
- SAP Customer Relationship Management,
- SAP Supply Chain Management,
- SAP Supplier Relationship Management,
- SAP NetWeaver Business Warehouse,
- SAP Business Intelligence,
- SAP NetWeaver Mobile Infrastructure,
- SAP Enterprise Portal,
- SAP Process Orchestration/Process Integration),
- SAP Solution Manager,
- SAP NetWeaver Development Infrastructure,
- SAP Central Process Scheduling,
- SAP NetWeaver Composition Environment, e
- SAP Landscape Manager.
Esta vulnerabilidade foi catalogada como [CVE-2020-6287] – “Multiple Vulnerabilities in SAP NetWeaver AS JAVA (LM Configuration Wizard)” disponível em https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287 (em inglês).
RECOMENDAÇÕES:
1.) SOLUÇÃO: atualizar as aplicações SAP. A SAP emitiu, há pouco, 14/7/2020, uma correção de emergência que deve ser aplicada imediatamente para sanar o problema. A correção está descrita na Nota Técnica SAP #2934135. Informações tecnicas em https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 (em inglês).
2.) MITIGAÇÃO: as empresas que não conseguem atualizar imediatamente devem mitigar a vulnerabilidade desativando o serviço LM Configuration Wizard .
3.) MONITORAMENTO: Se ainda não for possível a mitigação ou atualização nas próximas 24 horas recomenda-se fortemente o monitoramento ininterrupto e cuidadoso do SAP NetWeaver AS em alerta para atividades anômalas.
Por: Resh Strike Team
