Исследователи безопасности Пабло Артузо (Pablo Artuso) и Иван Генуэр (Yvan Genuer) из компании Onapsis продемонстрировали на конференции Black Hat USA, как можно использовать многочисленные уязвимости в SAP Solution Manager (SolMan) для получения прав суперпользователя и доступа к корпоративным серверам.
SolMan — централизованное приложение, предназначенное для управления IT-решениями локально, в облаке или в гибридных средах. Интегрированное решение действует как инструмент управления критически важными для бизнеса приложениями, включая программное обеспечение SAP и стороннее программное обеспечение. Уязвимости, обнаруженные в SolMan, позволяют неавторизованным злоумышленникам взломать «каждую систему», подключенную к платформе, включая SAP ERP, CRM, HR, и пр.
SolMan работает, связываясь с программными агентами на серверах SAP с помощью функции SMDAgent, также известной как SAP Solution Manager Diagnostic Agent. SMDAgent упрощает обмен данными и мониторинг экземпляров и обычно устанавливается на серверах, на которых выполняются приложения SAP. Доступ к самому SolMan можно получить через его сервер или SAPGui. Команда протестировала установку SolMan и приложения, связанные с SMDAgent, и в общей сложности было учтено около 60 приложений, более 20 из которых были доступны через запросы HTTP GET, POST или SOAP. Уязвимость удаленного выполнения кода (CVE-2020-6207) получила максимальную оценку в 10 баллов по шкале CVSS.
Эксперты также обнаружили две другие уязвимости в SolMan. Первая (CVE-2020-6234) была выявлена в агенте хоста SAP и позволяла злоумышленникам с правами администратора злоупотреблять операционной структурой для получения привилегий суперпользователя. Другая уязвимость (CVE-2020-6236) содержалась в модулях SAP Landscape Management и SAP Adaptive Extensions и позволяла повышать привилегии до уровня admin_group.
Объединение этих уязвимостей может дать удаленным злоумышленникам возможность запускать файлы, в том числе вредоносные данные, от имени суперпользователя, предоставляя им полный контроль над SMDA-агентами, подключенными к SolMan. После взлома SolMan неавторизованные преступники могут читать и изменять финансовые записи или банковские реквизиты, получать доступ к пользовательским данным, отключать критически важные для бизнеса системы по своему желанию и потенциально «расширять атаки за пределы SAP по мере достижения доступа к корневому каталогу/системе». Специалисты сообщили о своих находках SAP, и компания выпустила исправления для данных уязвимостей.