Logo Intuity
Contatti

AVVISO: Vulnerabilità gravi su SAP e Microsoft DNS

Share article

Cos’è importante sapere sulle due vulnerabilità critiche di SAP e MicrosoftDNS pubblicate il 14 luglio scorso?

Vulnerabilità gravi SAP Microsoft DNS

Il 2020 non ci dà tregua, oltre a tutto quello che sta succedendo, continuano ad arrivare notizie di attacchi “hacker” e Data Breach verso enti di primaria importanza e aziende di ogni ordine e grado.

Assieme a queste notizie c’è molto fermento anche per quanto riguarda nuove vulnerabilità gravi che vengono scoperte e pubblicate. Dopo Citrix e MS Exchange, è il momento di SAP e il servizio DNS di Microsoft.

Vi suggeriamo di spendere due minuti per leggere queste poche righe.

SIGRED – MICROSOFT DNS SERVICE VULNERABILITY
Vulnerabilità codificata come: CVE-2020-1350 (CVSS 10, critical)

Microsoft DNS è un servizio presente nella quasi totalità delle organizzazioni, per il fatto che è elemento fondante dell’architettura Active Directory.

Sfruttando questa vulnerabilità presente in tutti i sistemi Windows Server dal 2003 ad oggi, su cui è attivo il servizio DNS, è possibile ottenere un accesso come amministratore al sistema stesso. I motivi che rendono questa vulnerabilità critica sono i seguenti:

  1. Il servizio DNS è quasi sicuramente presente in rete.
  2. La vulnerabilità è “wormable”, ovvero può essere sfruttata da un malware, quindi non richiede una presenza fisica in rete.

Qualora il servizio DNS fosse esposto su Internet, il problema assume una criticità ancora superiore.

Nota: un servizio DNS non dovrebbe MAI essere esposto se non adeguatamente protetto da sistemi specifici in quanto suscettibile ad attacchi di vario tipo tra i quali il “DNS amplification attack” che, se sfruttato, può causare interruzione di servizio a voi e a terze parti per vostro inconsapevole tramite.

Microsoft ha già rilasciato la patch per la vulnerabilità CVE-2020-1350:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

Per ulteriori dettagli:

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

Se non fosse possibile effettuare l’aggiornamento del sistema in tempi brevi consigliamo queste due possibili mitigazioni:

  1. Modificare la seguente chiave di registro nei sistemi interessati:
    • reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f
    • net stop DNS && net start DNS
  2. In una rete adeguatamente segregata è possibile attivare la corrispondente firma IPS per bloccare la possibilità di sfruttare la vulnerabilità a livello network.

RECON – SAP NETWEAVER APPLICATION SERVER (AS) JAVA VULNERABILITY Vulnerabilità codificata come: CVE-2020-6287 (CVSS 10, critical)

La seguente vulnerabilità, presente nel componente LM Configuration Wizard Remote di SAP NetWeaver Application Server (AS) Java, consente ad un attaccante di compromettere il sistema SAP ottenendo un accesso non autorizzato, leggere e modificare i dati oltre che rendere indisponibile il servizio.

Il componente, quando presente, è tipicamente esposto su Internet tramite un’interfaccia https, fattore che lo rende particolarmente vulnerabile in quanto accessibile da chiunque.

Sistemi vulnerabili

Di seguito una lista, non esaustiva, dei sistemi potenzialmente vulnerabili:

  • Enterprise Resource Planning SAP,
  • Product Lifecycle Management,
  • Customer Relationship Management,
  • Supply Chain Management,
  • Supplier Relationship Management,
  • NetWeaver Business Warehouse,
  • Business Intelligence,
  • NetWeaver Mobile Infrastructure,
  • Enterprise Portal,
  • Process Orchestration/Process Integration),
  • Solution Manager,
  • NetWeaver Development Infrastructure,
  • Central Process Scheduling,
  • NetWeaver Composition Environment, and
  • Landscape Manager

SAP raccomanda di installare la Patch immediatamente o di disabilitare il componente se non fosse possibile procedere all’aggiornamento in tempi brevi.

Per ulteriori informazioni:

Ti aiutiamo noi

Trattandosi di un problema molto grave INTUITY si rende disponibile, senza alcun impegno, a testare la presenza della vulnerabilità sulla vostra infrastruttura pubblica.

Per richiedere questa verifica potete scrivere a:

  • security-alert@intuity.it indicando l’URL o l’indirizzo IP del sistema SAP esposto.
  • Oppure telefonare al numero 049 817 0850.

In entrambi i casi riceverete una comunicazione e-mail in risposta con l’esito del test.

Qualora vogliate avere un’analisi più approfondita dell’impatto che entrambe le vulnerabilità possono avere, anche in relazione alla vostra specifica configurazione, vi preghiamo di telefonare al numero indicato per valutare un intervento specialistico.

Per maggiori info contattaci qui