Vulnerabilidades no Adaptive Server Enterprise da SAP podem dar o controle completo dos bancos de dados mesmo a usuários sem permissões

Pesquisadores da Trustwave estão alertando usuários de sistemas SAP para que apliquem imediatamente os últimos patches por causa de várias vulnerabilidades críticas no gerenciador de banco de dados Adaptive Server Enterprise (ASE). Se exploradas, as falhas mais graves podem dar aos usuários sem privilégios controle completo dos bancos de dados a usuários não autorizados e, em alguns casos, até dos sistemas operacionais.

Anteriormente conhecido como Sybase SQL server, o ASE é o software de gerenciamento de banco de dados da SAP, destinado a aplicativos baseados em transações. Ele atualmente é usado por mais de 30.000 organizações em todo o mundo, incluindo 90% dos principais bancos e empresas de segurança do mundo, de acordo com a própria SAP.

Os pesquisadores divulgaram seis vulnerabilidades que descobriram ao fazer testes de segurança na versão mais recente do software, o ASE 16 (SP03 PL08). Embora a SAP tenha lançado patches para o ASE 15.7 e para o 16.0 no pacote de atualizações de maio de 2020, os pesquisadores divulgaram detalhes técnicos das falhas ontem, dizendo não haver dúvida de que eles devem ser aplicados imediatamente.

A vulnerabilidade mais grave analisada, registrada com o CVE-2020-6248, tem uma pontuação de criticidade CVSS de 9.1 (num limite de 10). A falha ocorre devido à falta de verificações de segurança para substituir arquivos de configuração críticos durante operações de backup do banco de dados. Isso significa, segundo a Trustwave, que qualquer usuário sem privilégio que possa executar um comando DUMP (usado pelos proprietários do banco de dados para fazer backup do sistema de arquivos em dispositivos de armazenamento) pode enviar um arquivo de configuração corrompido, resultando em possível acesso não autorizado ao banco de dados. Esse arquivo será detectado pelo servidor e substituído por uma configuração padrão – que permite a qualquer pessoa se conectar ao servidor de backup usando o login e uma senha vazios.

A respeito dessa questão, a SAP Brasil enviou ao CISO Advisor a seguinte declaração: “

O SAP Product Security Response Team colabora frequentemente com empresas de pesquisa, como a Trustwave, para garantir a divulgação responsável de vulnerabilidades. Todas as vulnerabilidades mencionadas foram corrigidas e os patches de segurança estão disponíveis para download na página May 2020 Patch Day para: 2917275, 2917090, 2916927, 2917273, 2917022, 2915585. A SAP recomenda fortemente que os clientes protejam seu espaço SAP aplicando os patches disponíveis o mais rápido possível.

A SAP preza por segurança e por soluções confiáveis. Como líder global em software, a SAP leva a sério a segurança dos dados dos clientes e baseou seus processos de desenvolvimento em uma estratégia abrangente de segurança, que abrange treinamentos, ferramentas e processos para permitir o fornecimento de produtos e serviços seguros.”

Com agências internacionais

Fonte: CISO Advisor (https://www.cisoadvisor.com.br/falta-de-patch-pode-abrir-acesso-a-dados-em-ambiente-sap/)