Foram divulgadas informações sobre fragilidades críticas no sistema SAP, incluindo uma sequência de exploração “wormable”, que pode expor as organizações a ataques. O especialista Fabian Hagg descobriu as falhas como parte de um projeto de investigação que durou três anos. Entretanto, o SAP lançou correções para algumas falhas críticas em meados de2021 e em janeiro de 2023.
Os problemas, que englobam tanto questões de projeto quanto de implementação, foram encontrados durante uma análise da Interface de Chamada Remota de Funções (RFC), que é utilizada para a comunicação entre sistemas SAP. Duas das vulnerabilidades receberam classificações de severidade “críticas” com base em sua pontuação CVSS: CVE-2021-27610 e CVE-2023-0014.
A exploração das vulnerabilidades descobertas por Hagg pode resultar em uma completa comprometimento do sistema. A sequência de exploração foi descrita como possuindo capacidades de ataque “auto-propagáveis”, permitindo a movimentação lateral em ambientes SAP.
Além das correções, são necessárias alterações de configuração e “ajustes complexos do sistema” para solucionar as falhas.
Fonte: BoletimSec
