News

AVVISO: Vulnerabilità gravi su SAP e Microsoft DNS

Il 2020 non ci dà tregua, oltre a tutto quello che sta succedendo, continuano ad arrivare notizie di attacchi “hacker” e Data Breach verso enti di primaria importanza e aziende di ogni ordine e grado.

Assieme a queste notizie c’è molto fermento anche per quanto riguarda nuove vulnerabilità gravi che vengono scoperte e pubblicate. Dopo Citrix e MS Exchange, è il momento di SAP e il servizio DNS di Microsoft.

Vi suggeriamo di spendere due minuti per leggere queste poche righe.

SIGRED – MICROSOFT DNS SERVICE VULNERABILITY
Vulnerabilità codificata come: CVE-2020-1350 (CVSS 10, critical)

Microsoft DNS è un servizio presente nella quasi totalità delle organizzazioni, per il fatto che è elemento fondante dell’architettura Active Directory.

Sfruttando questa vulnerabilità presente in tutti i sistemi Windows Server dal 2003 ad oggi, su cui è attivo il servizio DNS, è possibile ottenere un accesso come amministratore al sistema stesso. I motivi che rendono questa vulnerabilità critica sono i seguenti:

  1. Il servizio DNS è quasi sicuramente presente in rete.
  2. La vulnerabilità è “wormable”, ovvero può essere sfruttata da un malware, quindi non richiede una presenza fisica in rete.

Qualora il servizio DNS fosse esposto su Internet, il problema assume una criticità ancora superiore.

Nota: un servizio DNS non dovrebbe MAI essere esposto se non adeguatamente protetto da sistemi specifici in quanto suscettibile ad attacchi di vario tipo tra i quali il “DNS amplification attack” che, se sfruttato, può causare interruzione di servizio a voi e a terze parti per vostro inconsapevole tramite.

Microsoft ha già rilasciato la patch per la vulnerabilità CVE-2020-1350:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

Per ulteriori dettagli:

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

Se non fosse possibile effettuare l’aggiornamento del sistema in tempi brevi consigliamo queste due possibili mitigazioni:

  1. Modificare la seguente chiave di registro nei sistemi interessati:
    • reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f
    • net stop DNS && net start DNS
  2. In una rete adeguatamente segregata è possibile attivare la corrispondente firma IPS per bloccare la possibilità di sfruttare la vulnerabilità a livello network.

RECON – SAP NETWEAVER APPLICATION SERVER (AS) JAVA VULNERABILITY
Vulnerabilità codificata come: CVE-2020-6287 (CVSS 10, critical)

La seguente vulnerabilità, presente nel componente LM Configuration Wizard Remote di SAP NetWeaver Application Server (AS) Java, consente ad un attaccante di compromettere il sistema SAP ottenendo un accesso non autorizzato, leggere e modificare i dati oltre che rendere indisponibile il servizio.

Il componente, quando presente, è tipicamente esposto su Internet tramite un’interfaccia https, fattore che lo rende particolarmente vulnerabile in quanto accessibile da chiunque.

Di seguito una lista, non esaustiva, dei sistemi potenzialmente vulnerabili:

  • SAP Enterprise Resource Planning,
  • SAP Product Lifecycle Management,
  • SAP Customer Relationship Management,
  • SAP Supply Chain Management,
  • SAP Supplier Relationship Management,
  • SAP NetWeaver Business Warehouse,
  • SAP Business Intelligence,
  • SAP NetWeaver Mobile Infrastructure,
  • SAP Enterprise Portal,
  • SAP Process Orchestration/Process Integration),
  • SAP Solution Manager,
  • SAP NetWeaver Development Infrastructure,
  • SAP Central Process Scheduling,
  • SAP NetWeaver Composition Environment, and
  • SAP Landscape Manager

SAP raccomanda di installare la Patch immediatamente o di disabilitare il componente se non fosse possibile procedere all’aggiornamento in tempi brevi.

Per ulteriori informazioni:

Trattandosi di un problema molto grave INTUITY si rende disponibile, senza alcun impegno, a testare la presenza della vulnerabilità sulla vostra infrastruttura pubblica.

Per richiedere questa verifica potete scrivere a:

  • security-alert@intuity.it indicando l’URL o l’indirizzo IP del sistema SAP esposto.
  • Oppure telefonare al numero 049 817 0850.

In entrambi i casi riceverete una comunicazione e-mail in risposta con l’esito del test.

Qualora vogliate avere un’analisi più approfondita dell’impatto che entrambe le vulnerabilità possono avere, anche in relazione alla vostra specifica configurazione, vi preghiamo di telefonare al numero indicato per valutare un intervento specialistico.

 

 

 

AVVISO: Vulnerabilità gravi su SAP e Microsoft DNS