Llegamos a ustedes gracias a:



Alertas de Seguridad

SAP ASE deja credenciales sensibles

En los registros de instalación

[24/09/2020] Los usuarios de SAP deberían desplegar los parches para el Adaptive Server Enterprise (ASE) publicados el mes pasado porque el servidor no puede borrar las credenciales de los registros de instalación persistentes. A pesar de que las credenciales están encriptadas o son falsas, los investigadores advierten que los atacantes pueden desencriptarlas fácilmente para obtener acceso completo a un componente de monitoreo sensible.

Anteriormente conocido como Sybase SQL Server, el SAP Adaptive Server Enterprise (ASE) es una base de datos relacional de alto rendimiento con opciones de despliegue en las instalaciones y en la nube. El producto es utilizado por más de 30 mil organizaciones en todo el mundo, incluyendo más del 90% de los 50 principales bancos del mundo.

SAP ASE es una pieza compleja de software con muchos componentes, uno de los cuales se llama Cockpit y se utiliza para supervisar el rendimiento de los despliegues a gran escala. El agente Cockpit se instala de forma predeterminada y transmite información sobre el host de ASE a los clientes. Según SAP, las características de Cockpit incluyen la supervisión histórica, alertas y notificaciones basadas en el umbral, ejecución de secuencias de comandos basadas en alertas y herramientas para identificar el rendimiento y las tendencias de uso.

Dos fugas de información de SAP ASE

El jueves, los investigadores de la empresa de seguridad Trustwave publicaron información detallada y código de explotación de prueba de concepto para dos problemas de fuga de información que pueden comprometer las contraseñas administrativas de Cockpit en las implementaciones de SAP ASE.

La primera vulnerabilidad, rastreada como CVE-2020-6295, se deriva de que ASE no ha aplicado los controles adecuados de acceso a los archivos para su registro de instalación en Windows. Este es el archivo en el que el producto escribe la información de depuración cada vez que se instala o actualiza un componente. El archivo de registro persiste en el host y está configurado para que cualquier usuario de Windows pueda leerlo. Esto significa que un atacante potencial solo necesita acceder a una cuenta limitada en el sistema, que en muchos casos no es difícil de obtener en una red de Windows.

Una versión cifrada de la contraseña del repositorio Cockpit se escribe en el archivo de registro cada vez que se actualiza el componente y, aunque esto puede no parecer un gran problema, los investigadores de Trustwave descubrieron que la información necesaria para descifrarlo puede encontrarse en otros dos archivos, csibootstrap.properties y csikeystore.jceks, que también son legibles para cualquier usuario del sistema.

"Csibootstrap.properties" contiene la contraseña del depósito de claves, mientras que "csikeystore.jceks" es el depósito de claves propiamente dicho. Un script muy útil para la investigación es C:\SAPCOCKPIT-4\binpassencrypt.bat", anotó Trustwave en su aviso, que incluye un exploit de prueba de concepto escrito en Java que puede ser usado para extraer la contraseña.

La vulnerabilidad está clasificada como de alta gravedad con una puntuación de 7,8 en el CVSS porque cuando se desencripta, esta contraseña puede ser utilizada para ver, modificar o hacer que los datos del Cockpit no estén disponibles.

La segunda vulnerabilidad de revelación de información se rastrea como CVE-2020-6317 y proviene de la cuestión de los permisos de archivo. El archivo de registro de SAP ASE también incluye hashes SHA-256 y sales codificadas en base64 para las contraseñas sccadmin y uafadmin. Estas son dos cuentas administrativas asociadas con Cockpit.

Esta vulnerabilidad solo tiene una calificación de 2,6 en la escala CVSS porque las contraseñas son falsas. Sin embargo, Martin Rakhmanov, gerente de investigación de seguridad de Trustwave, señaló que es fácil decodificar la sal y ejecutar ataques de fuerza bruta fuera de línea basados en el diccionario contra los hashes para descifrar las contraseñas. El bucle de los diccionarios con SHA-256 es muy rápido, indicó.

No es la primera vez que los controles de acceso a archivos inapropiados exponen a SAP ASE y Cockpit. Las actualizaciones de seguridad de SAP de mayo incluyeron una solución para una vulnerabilidad de escalada de privilegios resultante de la inclusión de una contraseña de la base de datos de ayuda de Cockpit en un archivo de configuración que era legible por todos los usuarios del sistema. La contraseña podría permitir a los atacantes ejecutar comandos de la base de datos que sobrescribirían los archivos del sistema operativo y conducirían a la ejecución de código malicioso con privilegios de LocalSystem.

"Al final, la explotación de las vulnerabilidades discutidas aquí permitirá a los usuarios maliciosos adivinar las contraseñas privilegiadas de los usuarios (CVE-2020-6317) o simplemente descifrarlas (CVE-2020-6295) y luego usar las cuentas comprometidas para ataques posteriores", advirtieron los investigadores de Trustwave. "No espere: Aplique los parches proporcionados por el proveedor lo antes posible".