SAP Menambal Bug 'ICMAD' yang Parah

Posted on by Syauqi Wiryahasana

Ada trio kerentanan kritis, diperbaiki pada hari Selasa, dalam aplikasi bisnis SAP yang menggunakan Internet Communication Manager (ICM) di mana-mana: komponen yang memberikan produk SAP server web HTTPS yang mereka butuhkan untuk terhubung ke internet atau berbicara satu sama lain.

The kerentanan, ditemukan oleh Onapsis Research Labs, dilacak sebagai CVE-2022-22536, CVE-2022-22532 dan CVE-2022-22533. CVE pertama, yang dibahas dalam Catatan Keamanan 3123396, menerima skor risiko terbaik – 10 dari 10. Dua CVE lainnya masing-masing menerima skor 8,1 dan 7,5.



Masalahnya cukup parah sehingga Badan Keamanan Siber dan Infrastruktur AS (CISA) mengeluarkan peringatan keamanan tentang mereka minggu ini. Dan, dalam sebuah posting blog, direktur respon keamanan SAP Vic Chung mengkonfirmasi keparahan temuan Onapsis. Dia mengatakan bahwa jika tidak diperbaiki, bug – alias “ICMAD” – “akan memungkinkan penyerang untuk melakukan aktivitas berbahaya yang serius pada pengguna SAP, informasi bisnis, dan proses.”

Secara khusus, eksploitasi yang berhasil dapat menyebabkan daftar keamanan siber yang menakutkan ini. bahaya:
    Pembajakan identitas pengguna, pencurian semua kredensial pengguna dan informasi pribadiPengeluaran informasi perusahaan yang sensitif atau rahasiaTransaksi penipuan dan kerugian keuanganPerubahan rincian perbankan dalam sistem catatan keuanganSerangan penolakan layanan yang mengganggu sistem penting untuk bisnis

Onapsis, yang berspesialisasi dalam keamanan untuk SAP, Oracle, Salesforce dan platform software-as-a-service (SaaS) lainnya, bergabung dengan SAP dalam mengoordinasikan rilis Laporan Ancaman yang menjelaskan kerentanan kritis pada hari Selasa.

Perusahaan memperkirakan ada puluhan ribu – sekitar 40.000 – Pelanggan SAP menjalankan lebih dari 10.000 potensi sekutu yang terpengaruh, aplikasi SAP yang terpapar internet pada saat pengungkapan.

SAP dan Onapsis mendesak pelanggan untuk menerapkan Catatan Keamanan 3123396 dan 3123427 tanpa penundaan. Onapsis juga menyediakan alat pemindai kerentanan open-source gratis untuk membantu pelanggan SAP dalam mengatasi masalah serius, tersedia untuk diunduh di sini.

Tidak Ada Pelanggaran Terkait yang Diketahui – Yet

“Karena ICM terpapar ke internet dan jaringan yang tidak tepercaya dengan desain, kerentanan dalam hal ini komponen memiliki tingkat risiko yang meningkat,” kata Chung.

Bug ICMAD adalah kerentanan kerusakan memori kritis yang harus segera ditambal, mengingat ICM adalah komponen inti dari aplikasi bisnis SAP – hanya satu jenis aplikasi penting bisnis yang mengancam pelaku secara aktif menargetkan.

“Seperti yang telah kami amati melalui intelijen ancaman baru-baru ini, pelaku ancaman secara aktif menargetkan aplikasi penting bisnis seperti SAP dan memiliki keahlian serta alat untuk melakukan serangan canggih,” kata Mariano Nunez, CEO dan salah satu pendiri Onapsis. “Penemuan dan penambalan kerentanan ICMAD serta yang sebelumnya diidentifikasi oleh Onapsis Research Labs, seperti RECON dan 10KBLAZE, sangat penting untuk melindungi aplikasi penting bisnis yang mendukung 92 persen Forbes Global 2000.”

As Selasa, SAP dan Onapsis tidak mengetahui adanya pelanggaran yang terkait dengan trio bug, tetapi itu jelas bukan alasan untuk menunda penerapan pembaruan di Catatan Keamanan 3123396 [CVE-2022-22536] ke aplikasi SAP yang terpengaruh sesegera mungkin, kata mereka .

021022 13:28 UPDATE: Seorang juru bicara Onapsis mengatakan kepada Threatpost bahwa pada hari Kamis, tim masih belum melihat eksploitasi kelemahan ICMAD atau bukti konsep tetapi, tidak mengherankan, mereka telah melihat penyelidikan memindai kerentanan.

Apa yang Harus Dilakukan

Onapsis telah menyiapkan rekaman sesuai permintaan ini yang merinci apa yang harus dilakukan untuk menghindari kerusakan.

Selain itu, pada siang ET pada hari Kamis, Nunez dari Onapsis dan SAP CISO Richard Puckett akan memberikan tiga saat pengarahan tentang kerentanan ICMAD.
Bergabunglah dengan #CISO SAP Richard Puckett dan saya tentang pengarahan ancaman tentang kerentanan #icmad. Pastikan Anda memiliki semua info untuk melindungi aplikasi SAP penting bisnis Anda. Hari ini jam 12 siang ET. #sap#onapsis#research#cisa#icm#securityhttps://t.co/QObvbdN6sp

— Mariano Nunez (@marianonunezdc) 10 Februari 2022



Aplikasi yang Menghadapi Internal Juga Berisiko

A kerentanan di ICM membuat perusahaan bergantung pada data bisnis SAP mengelola dan menjaga, kata Casey Bisson, kepala hubungan produk dan pengembang di penyedia keamanan kode BluBracket. Itu berlaku untuk aplikasi internal maupun aplikasi yang terhubung ke internet, katanya, mengingat ICM adalah inti dari hampir semua aplikasi web berbasis SAP, dan itu termasuk aplikasi yang hanya untuk internal.

“Bahkan jika aplikasi hanya internal, masih ada risiko ketika digabungkan dengan ancaman lain, termasuk karyawan yang tidak puas dan perangkat jaringan yang disusupi, ”katanya kepada Threatpost melalui email pada hari Kamis. “Inilah kerentanan yang dicari oleh pelaku ancaman seperti operator ransomware dan operator negara.” Server

SAP adalah “target yang sangat kaya,” kata Aaron Turner, wakil presiden postur perangkat lunak sebagai layanan (SaaS) di keamanan siber AI perusahaan Vectra. Mereka memiliki akses “signifikan” ke proses bisnis material dan, umumnya, memiliki banyak kredensial istimewa yang disimpan dan digunakan di server tersebut, katanya melalui email.

“Dengan penelitian Onapsis, mereka telah menemukan jalur eksploitasi yang memungkinkan penyerang mendapatkan akses ke kredensial istimewa tersebut untuk bergerak secara lateral dalam jaringan lokal, dan juga berporos ke cloud karena sebagian besar pelanggan SAP telah menggabungkan beban kerja SAP lama mereka dengan yang berbasis cloud,” jelas Turner.

Dia membandingkan potensi eksploitasi dengan yang disajikan oleh Hafnium : sebuah ancaman persisten tingkat lanjut (APT) yang diyakini terkait dengan pemerintah China yang dikatakan Microsoft telah melakukan serangan zero-day pada server Microsoft Exchange menggunakan kelompok kerentanan yang dikenal sebagai ProxyLogon.

“Sama seperti Hafnium mengizinkan penyerang untuk berputar dari awal. -prem Exchange ke M365, jalur serangan SAP ini dapat memungkinkan hal yang sama,” saran Turner. “Pembaruan keamanan SAP akan sangat penting untuk diinstal, tidak hanya untuk melindungi server SAP lokal tetapi juga sistem apa pun, lokal atau cloud, yang mungkin berbagi kredensial atau hubungan kepercayaan dengan server tersebut.”

Mike Parkin, engineer di remediasi risiko siber perusahaan Penyedia SaaS Vulcan Cyber, mengatakan kepada Threatpost bahwa terlepas dari kurangnya laporan eksploitasi ICMAD saat ini, "potensi risikonya tinggi." mitigasi yang relevan "segera setelah praktis," sarannya.

021022 12:24 UPDATE: Menambahkan masukan dari Casey Bisson, Aaron Turner, dan Mike Parkin.

TENTANG EMKA.WEB>ID

EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

©2024 emka.web.id Proudly powered by wpStatically