L’ASE de SAP est concerné par 6 vulnérabilités critiques

Les chercheurs invitent les utilisateurs à appliquer des correctifs pour plusieurs vulnérabilités critiques dans l’Adaptive Server Enterprise (ASE) de SAP. Si elles sont exploitées, les failles les plus graves pourraient donner aux utilisateurs non privilégiés un contrôle complet des bases de données et, dans certains cas, même des systèmes d’exploitation sous-jacents.

ASE (anciennement appelé Sybase SQL Server) est le logiciel de gestion de base de données populaire de SAP, destiné aux applications transactionnelles. Il est utilisé par plus de 30 000 organisations dans le monde, dont 90% des meilleures banques et sociétés de sécurité du monde, selon SAP.

sap

Les chercheurs ont révélé 6 vulnérabilités qu’ils ont découvertes lors de tests de sécurité pour la dernière version du logiciel, la version 16 (SP03 PL08). Alors que SAP a publié des correctifs pour les versions 15.7 et 16.0 dans sa mise à jour de mai 2020, les chercheurs ont divulgué les détails techniques des failles, affirmant “qu’il ne fait aucun doute” que les correctifs devraient être appliqués immédiatement s’ils ne l’ont pas déjà été.

«Au cours des dernières années, il y a eu relativement peu de correctifs de sécurité pour SAP Adaptive Server Enterprise», ont déclaré les chercheurs de Trustwave dans une analyse. «De nouvelles recherches sur la sécurité menées par Trustwave ont révélé un tas de vulnérabilités dans la version actuelle du produit phare de base de données relationnelle de SAP. Historiquement, SAP ASE est largement utilisé par le secteur financier aux États-Unis et dans d’autres pays. »

Les différentes failles affectant l’ASE de SAP

La vulnérabilité la plus grave, CVE-2020-6248, a un score CVSS de 9,1 sur 10. La faille provient d’un manque de contrôles de sécurité pour écraser les fichiers de configuration critiques lors des opérations de sauvegarde de la base de données.

Cela signifie que tout utilisateur non privilégié qui peut exécuter une commande DUMP (utilisée par les propriétaires de bases de données pour sauvegarder le système de fichiers sur des périphériques de stockage) peut envoyer un fichier de configuration corrompu, entraînant une prise de contrôle potentielle de la base de données. Ce fichier sera ensuite détecté par le serveur et remplacé par une configuration par défaut – qui permet à quiconque de se connecter au serveur de sauvegarde à l’aide de l’identifiant et d’un mot de passe vide.

“La prochaine étape serait de modifier le paramètre sybmultbuf_binary du serveur de sauvegarde pour pointer vers un exécutable du choix de l’attaquant”, ont déclaré les chercheurs. “Les commandes DUMP suivantes déclencheront désormais l’exécution de l’exécutable de l’attaquant. Si SAP ASE s’exécute sur Windows, le code s’exécutera en tant que LocalSystem par défaut. »

sap ase

Une autre faille critique (CVE-2020-6252) a été découverte et affecte les installations Windows de la version 16. Cette faille existe dans une petite base de données d’assistance (SQL Anywhere) utilisée par l’ASE de SAP pour gérer la création de la base de données et la gestion des versions. Plus précisément, le problème concerne le composant Cockpit, qui est un outil Web qui permet de surveiller l’état et la disponibilité des serveurs.

Les problèmes proviennent du mot de passe, utilisé pour se connecter à la base de données d’assistance, se trouvant dans un fichier de configuration lisible par tout utilisateur Windows.

«Cela signifie que tout utilisateur Windows valide peut récupérer le fichier et récupérer le mot de passe pour se connecter à la base de données SQL Anywhere auxiliaire en tant qu’utilisateur spécial Utility_db, puis émettre des commandes comme CREATE ENCRYPTED FILE pour remplacer les fichiers du système d’exploitation (rappelez-vous, la base de données d’assistance s’exécute en tant que LocalSystem par défaut!) et éventuellement provoquer l’exécution de code avec les privilèges LocalSystem », ont expliqué les chercheurs.

Les chercheurs ont aussi trouvé des mots de passe en texte clair dans les logs d’installation du serveur: «Les logs ne sont lisibles que pour le compte SAP, mais compromettent complètement le logiciel lorsqu’ils sont associés à une autre faille qui permet l’accès au système de fichiers», ont-ils déclaré.

Les chercheurs ont également découvert deux failles d’injection SQL qui pourraient être utilisées abusivement pour permettre une élévation de privilèges. L’une (CVE-2020-6241) existe dans les tables temporaires globales de la version 16, tandis que l’autre (CVE-2020-6253) provient du code de gestion de WebServices .

La dernière vulnérabilité découverte était une faille du serveur XP (CVE-2020-6243) qui permettait aux utilisateurs Windows authentifiés d’obtenir l’exécution de code arbitraire (comme LocalSystem) s’ils pouvaient se connecter à l’ASE de SAP.

«Les organisations stockent souvent leurs données les plus critiques dans des bases de données qui, à leur tour, sont souvent nécessairement exposées dans des environnements non fiables ou exposés publiquement», ont déclaré les chercheurs. «Cela rend les vulnérabilités comme celles-ci importantes à corriger et tester rapidement car elles menacent non seulement les données de la base de données, mais potentiellement l’hôte sur lequel elle s’exécute.»

Si cet article vous a plu, jetez un œil à notre article précédent.