bencede
New member
SAP kimlik doğrulamasındaki zayıflıklar
SAP iş yazılımı birçok yerde bir kara kutudur ve dahili olarak nasıl çalıştığı hakkında pek bir şey bilinmemektedir. Bu aynı zamanda saldırılara karşı bir miktar koruma sağlar, ancak yalnızca birisi özel kavramları analiz etme ve güvenlik açıklarını arama zahmetine girene kadar. Sec Consult’dan Fabian Hagg’ın yaptığı tam olarak buydu ve en kötü durumda kod enjeksiyonuna ve yürütülmesine (RCE) izin veren güvenlik açıklarını hemen keşfetti.
Duyuru
İki yıllık bir ifşa sürecinden sonra grup, Hagg’ın bildirilen tüm boşluklarını düzeltti ve araştırmacı, diğer şeylerin yanı sıra bulgularını bir teknik incelemede belgeledi. Bu, SAP yöneticileri için çok iş anlamına gelir, çünkü yalnızca yama uygulaması çok çaba gerektirmez. Bu güvenlik açıkları hakkındaki açıklamalar başkaları tarafından takip edilebilir.
ayrıca oku
Daha fazla göster
daha az göster
Boşluklarla kimlik doğrulama
SAP ABAP platformu, diğer şeylerin yanı sıra sunucuların diğer SAP sistemleriyle iletişim kurduğu Uzak İşlev Çağrıları (RFC’ler) sunar. Kimliklerini ve yetkilerini kanıtlamak için kullandıkları tescilli bir kimlik doğrulama sistemi vardır. Hagg, bir saldırganın çeşitli saldırılar gerçekleştirmesine izin veren bir dizi güvenlik açığını tam olarak burada keşfetti.
Bu biraz, eski kimlik doğrulama kavramları NTLM ve Kerberos’un kullanıldığı Windows ağlarını anımsatıyor. SAP ABAP’a yönelik olası saldırıların spektrumu, ağ trafiğini gözetlemekten, örneğin yeniden yürütme, aktarma veya geçiş bileti saldırıları yoluyla bir kimliği ele geçirmeye kadar uzanır. Hagg, Sec Consult blogunda “Başarılı bir saldırı, sistemin tamamen ele geçirilmesine yol açabilir” diye özetliyor. Araştırmacı ayrıca, yamalar yüklenmezse bir SAP solucanı olasılığını da görüyor.
Ayrıntılı yamalar
Bu sorunu çözmek için SAP bir dizi yama yayınladı. CVE-2021-33677, CVE-2021-27610 ve CVE-2021-33684, 2021’de ortaya çıktı ve ardından Ocak 2023’te, gerçekten etkili olan CVE-2023-0014 geldi. Yalnızca 9,8 CVSS puanıyla Kritik olarak derecelendirildiği için değil, aynı zamanda yama uygulamak hiç de önemsiz olmadığı için.
Duyuru
Güncellemeler, kimlik doğrulama tasarımında oldukça derin değişiklikler yaptığından, yalnızca bir miktar (planlı) kesinti süresi gerektirmez, aynı zamanda bir profil parametresinin sonradan dönüştürülmesini de gerektirir (rfc/allowoldticket4tt = 'no') koruyucu etkiyi geliştirmek. Ancak bu, tüm ABAP sunucularında koordine edilmelidir, aksi takdirde bileşenlerin etkileşiminde sorunlar olacaktır. Ancak SAP yöneticileri bu projeyi mümkün olan en kısa sürede hayata geçirmelidir çünkü saldırılar güvenlik açıklarını bilerek gelecektir.
Daha fazla araştırmaya ihtiyaç var
Hagg şimdi araştırma projesindeki bulgularını kademeli olarak belgeliyor ve ayrıca bireysel güvenlik açıklarından yararlanmak için araçlar ve gösteriler yayınlayacak. Daha fazla insanın SAP güvenliğiyle etkileşim kurması için zemin hazırlamayı ve hâlâ büyük ölçüde keşfedilmemiş kavramlara ve protokollere ışık tutmayı umuyor. Ancak Hagg, Haberler Security’ye, bireysel yapı taşlarını başarılı bir saldırıya bağlayan gerçek bir açıktan yararlanma sağlamayacağını açıkladı.
(Evet)
Haberin Sonu