De acordo com a empresa de segurança Onapsis, 90% dos sistemas SAP foram impactados pela vulnerabilidade que afeta o SAP Netweaver e que pode ser explorada por um atacante remoto não autenticado, e este pode seguidamente ter acesso a todo o sistema da sua organização.
Como a tecnologia SAP Netweaver e o pilar das soluções SAP, incluindo o SAP ERP e o S / 4 HANA, pelo menos 378.000 utilizadores em todo o mundo estão a ser afetados.
How critical is this vulnerability? SAP Netweaver installations, if not properly secured, could be compromised by a remote unauthenticated attacker having only network access to the system.” reads the report published by Onapsis says
“Attackers can obtain unrestricted access to SAP systems, enabling them to compromise the platform along with all of its information, modify or extract this information or shut the system down. It affects all SAP Netweaver versions and still exists within the default security settings on every Netweaver-based SAP product such as the SAP ERP, including the latest versions such as S/4HANA.”
Esta configuração está diretamente relacionada à maneira como os componentes da infraestrutura do SAP comunicam entre si, com um foco específico nos Servidores de Aplicações, no SAP Message Servers e na Instância Central do SAP.
Sempre que um nova aplicação é criada, o sysadmin deve registrar a nova aplicação (Application Server) com o SAP Message Server, o registo é realizado via porta interna 39 <xx> (3900 por padrão).
O SAP Message Servers possui um mecanismo de lista de controlo de acessos(ACL) para o acesso à porta de registo.
“The SAP Message Server implements a protection mechanism, also known as ACL or access control list, to check which IP addresses can register an application server and which ones cannot.” continues the report.
“This ACL is controlled by the profile parameter “ms/acl_info”. This parameter should contain a path to a file with the following format:
HOST=[*| ip-adr | hostname | Subnet-mask | Domin ] [, …]”
A SAP já havia publicado alguma informação sobre como configurar corretamente este ficheiro em 2005 por meio do SAP Security Note # 8218752 “configurações de segurança no servidor de mensagens”.
Nevertheless, this parameter is set with default configuration, as well as the ACL contents open, allowing any host with network access to the SAP Message Server to register an application server in the SAP system.” continues the Onapsis’s report.
Os investigadores destacaram que o problema poderia ser mitigado passando apenas pela configuração adequada da ACL do SAP Message Server.
- Properly configure SAP Message Server ACL. SAP published instructions for this more than ten years ago, which confirms the need for more investment and education in SAP cybersecurity if this vulnerability is still present in your systems.
- Implement continuous monitoring and compliance checks to validate that security-relevant configurations such as the Message Server ACL files do not change the security posture of the entire system.
- Implement an SAP cybersecurity program that helps bridge the gap between teams: Align IT Security, Internal Audit, BASIS and SAP Security teams towards the unified goal of running secure SAP applications.