Llegamos a ustedes gracias a:



Alertas de Seguridad

SAP Adaptive Server Enterprise: Instalar los últimos parches

Instan los expertos

[03/06/2020] En mayo, SAP anunció varias correcciones de seguridad para su producto de base de datos Adaptive Server Enterprise (ASE), que utilizan miles de empresas en todo el mundo. Los investigadores que descubrieron e informaron sobre las vulnerabilidades están ahora instando a las organizaciones a desplegar esos parches lo antes posible porque permiten a los atacantes tomar el control de los sistemas de base de datos subyacentes y de los servidores en los que se ejecutan.

El SAP Adaptive Server Enterprise (ASE), anteriormente conocido como Sybase SQL Server, es un servidor de base de datos relacional de alto rendimiento, con opciones de despliegue en las instalaciones y en la nube que es utilizado por más de 30 mil organizaciones en todo el mundo, incluyendo más del 90% de los 50 principales bancos y empresas de seguridad del mundo, según los materiales de marketing de SAP.

El Security Patch Day for May de SAP incorporó el lanzamiento de 18 Security Notes o notas de seguridad, siete de las cuales cubrían las vulnerabilidades en SAP ASE con severidad media a crítica. Seis de las fallas fueron reportadas por investigadores de seguridad de Trustwave, y fueron documentadas en una entrada de blog el miércoles. Con la información detallada ahora disponible públicamente, las organizaciones deben asegurarse de que los parches se apliquen de inmediato.

"Las organizaciones a menudo almacenan sus datos más críticos en bases de datos, que, a su vez, a menudo están necesariamente expuestos en entornos no confiables o públicamente expuestos", dijeron los investigadores de Trustwave en su informe. "Esto hace que vulnerabilidades como estas sean esenciales para abordar y probar rápidamente, ya que no solo amenazan los datos de la base de datos, sino potencialmente el host completo en el que se está ejecutando".

Las vulnerabilidades del SAP ASE

La vulnerabilidad más grave, identificada como CVE-2020-6248, tiene una puntuación de 9,1 sobre 10 en el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS, por sus siglas en inglés), y proviene de la falta de comprobaciones de seguridad en los archivos de configuración durante las operaciones de copia de seguridad de la base de datos. Más específicamente, la falla permite a cualquier usuario con permiso para ejecutar el comando DUMP de la base de datos, corromper el archivo de configuración en el servidor de respaldo.

"En el próximo reinicio del Backup Server, la corrupción del archivo de configuración será detectada por el servidor y reemplazará la configuración con la predeterminada", explicaron los investigadores de Trustwave. "Y la configuración por defecto permite a cualquiera conectarse al Backup Server usando el mismo nombre de usuario y una contraseña vacía!".

Los atacantes pueden entonces cambiar la configuración sybmultbuf_binario en el servidor para apuntar a un ejecutable malicioso, y disparar su ejecución con los subsiguientes comandos DUMP. En Windows, esta operación se realiza con privilegios de LocalSystem por defecto, lo que otorga al potencial hacker y a su código malicioso un control completo sobre la máquina.

Otra vulnerabilidad de escalada de privilegios que afecta a SAP ASE en Windows se verifica en CVE-2020-6252 y tiene un puntaje de 9.0 en CVSS. El problema afecta al componente Cockpit de SAP ASE, que utiliza una pequeña base de datos de ayuda basada en SQL Anywhere, y que también se ejecuta con privilegios de LocalSystem. El problema es que la contraseña para acceder a esta base de datos helper se almacena en un archivo de configuración que es legible por todos los usuarios del sistema operativo, lo que significa que un atacante con acceso a una cuenta local no privilegiada de Windows, puede acceder a la base de datos helper y emitir comandos que pueden resultar en la sobreescritura de los archivos del sistema operativo. Esto puede resultar potencialmente en la ejecución de código malicioso con privilegios de LocalSystem.

Una tercera falla de escalada de privilegios, CVE-2020-6243, con una puntuación CVSS 8.0, existe en el componente XP Server que se instala automáticamente con SAP ASE en Windows. Cualquier usuario de la base de datos, sin importar los privilegios, puede forzar al Servidor XP a ejecutar el archivo C:\SAP\.DLL. Esta ubicación del archivo es escribible por cualquier usuario de Windows, por lo que los atacantes pueden reemplazar el archivo por uno malicioso. Dado que el Servidor XP se ejecuta como LocalSystem, la explotación de esta falla puede llevar a la ejecución de código arbitrario con todos los privilegios del sistema.

Los investigadores también encontraron y reportaron dos vulnerabilidades de inyección SQL que pueden resultar en el compromiso completo de la base de datos. Una de ellas, rastreada como CVE-2020-6241 con una puntuación CVSS 8.8, proviene de la rutina de manejo de las tablas temporales globales. Cualquier usuario válido de la base de datos, sin ningún privilegio especial, puede explotar esta vulnerabilidad para obtener acceso administrativo a toda la base de datos. La segunda, CVE-2020-6253 con CVSS 7.2, existe en el código de manejo de WebServices y puede ser activada cargando un volcado de base de datos mal hecho.

"El ataque tiene dos etapas: primero, en un ASE controlado por el atacante se crea un volcado para que contenga una entrada de tabla del sistema maliciosa", explicaron los investigadores. "A continuación, el volcado se carga en el ASE que está siendo atacado para que la inyección SQL interna se produzca durante el procesamiento de la entrada malformada del volcado".

La última vulnerabilidad, CVE-2020-6250, tiene una puntuación de 6,8 en el CVSS y es una fuga de información: Los registros de instalación de SAP ASE en sistemas Linux/UNIX contienen contraseñas en texto plano. Los registros de instalación solo pueden ser leídos por la cuenta de SAP, pero si hay algún otro problema que permita el acceso al sistema de archivos, este descuido puede resultar en el compromiso total del despliegue de SAP ASE.

Parches y mitigaciones para las vulnerabilidades de SAP ASE

SAP publicó parches tanto para ASE 15.7 como para 16.0, pero los expertos en seguridad advirtieron en el pasado que los clientes de SAP regularmente se atrasan con los parches debido al alto nivel de personalización en sus entornos. La empresa de seguridad Onapsis, que se especializa en asegurar las aplicaciones críticas para el negocio, estima que cada implementación de SAP tiene un promedio de dos millones de líneas de código personalizado añadidas por sus usuarios. Esto hace que la aplicación de actualizaciones de seguridad y la realización de cambios de configuración sea un proceso complicado, ya que primero hay que realizar pruebas de compatibilidad.

Las implementaciones de SAP ASE que están expuestas directamente a Internet corren un mayor riesgo, pero estas vulnerabilidades también pueden ser utilizadas para el movimiento lateral por parte de los atacantes que acceden a las redes corporativas utilizando otros vectores de ataque.

"La mejor práctica es no exponer ninguna base de datos a Internet, pero a veces las organizaciones lo hacen", comentó Martin Rakhmanov, gerente de investigación de seguridad de Trustwave SpiderLabs. "Las fallas descubiertas son útiles en ambos casos, pero yo asumiría que el escenario del tipo de movimiento lateral debería ser más común para la explotación".

Rakhmanov anotó que Trustwave no tiene ninguna telemetría sobre el estado del parche de las implementaciones de SAP ASE en los entornos de los clientes, pero reiteró su recomendación habitual: "Parchear a tiempo, lo más rápido posible".