Dostawca usług cyberbezpieczeństwa z Niemiec zidentyfikował lukę w łańcuchu dostaw w systemie transportowym SAP, która umożliwia atakującym przeniknięcie do procesu zarządzania zmianami lub wdrażania oprogramowania. Firma SAP SE opublikowała łatę naprawiającą problem, który zagraża wszystkim środowiskom SAP, które współdzielą jeden katalog transportowy.

System transportowy SAP podatny na złośliwą ingerencję

Oprogramowanie SAP jest używane przez firmy na całym świecie, a wiele z nich dostarcza infrastrukturę krytyczną, żywność, energię i zaopatrzenie medyczne. Wewnętrzny łańcuch rozwoju SAP jest wykorzystywany przez klientów do żądania dodatkowych funkcji i wewnętrznych opracowań standardu SAP, a zmiany są dostarczane za pośrednictwem różnych systemów inscenizacji w danym środowisku SAP za pomocą zgłoszeń transportowych SAP. Te żądania nie powinny być modyfikowane po ich wyeksportowaniu z centralnego katalogu transportowego i wydaniu.

Zobacz również:

• Pomorze zawalczy o inwestycje w półprzewodniki
• Strategiczna współpraca NTT DATA Business Solutions i Beyond.pl
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Jednak w październiku 2021 r. firma SecurityBridge zidentyfikowała metodę, która pozwalała wewnętrznym napastnikom bez uprzywilejowanych uprawnień przeniknąć do procesu zarządzania zmianami SAP lub wdrażania oprogramowania w sposób niewykryty. „Po eksporcie, a przed importem do systemu produkcyjnego, aktorzy zagrożeń mają okno czasowe na dołączenie złośliwych obiektów. Nieuczciwy pracownik z odpowiednimi uprawnieniami ma możliwość zmiany statusu wydania z 'released' na 'modifiable'”- czytamy we wpisie na blogu SecurityBridge.

Pozwala to na zmianę żądań transportowych pomimo przejścia przez bramki jakości w procesie zarządzania zmianami. „Atakujący mogą wprowadzić złośliwy kod do etapu rozwoju SAP, w sposób niewidoczny, nawet do żądań, które zostały już zaimportowane do etapu testowego” - dodaje SecurityBridge. Atakujący mogą następnie zmienić zawartość żądania transportowego tuż przed promocją do produkcji, co może prowadzić do wykonania kodu. „Takie ataki są bardzo skuteczne, a wszystkie środowiska SAP są podatne na ataki, jeśli różne poziomy inscenizacji SAP współdzielą jeden katalog transportowy”.

Rozwiązanie problemu podatności systemu zarządzania transportem SAP

Organizacje korzystające z produktów oprogramowania SAP powinny zastosować poprawkę usuwającą lukę (CVE-2021-38178), wydaną przez SAP w raporcie bezpieczeństwa SNOTE 3097887. Zabezpieczy to system plików przed manipulacją. Klienci SAP powinni również sprawdzić swój log transportowy pod kątem manipulacji przed importem produkcyjnym, dodaje SecurityBridge. Opisana metoda ataku staje się nim widoczna.

Źródło: CSO