Nuovo exploit minaccia la sicurezza di SAP NetWeaver
Un nuovo exploit che combina due vulnerabilità critiche, ora risolte, in SAP NetWeaver è emerso, mettendo a rischio le organizzazioni di compromissione del sistema e furto di dati. Questo exploit unisce le vulnerabilità CVE-2023-22025 e CVE-2023-242964 per bypassare l’autenticazione e ottenere l’esecuzione remota del codice, secondo quanto riportato dalla società di sicurezza SAP Onapsis.
Dettagli delle vulnerabilità
La vulnerabilità CVE-2023-22025 (punteggio CVSS: 9.1) riguarda la mancanza di controllo di autorizzazione nel server di sviluppo Visual Composer di SAP NetWeaver. D’altra parte, CVE-2023-242964 (punteggio CVSS: 9.1) si riferisce a una deserializzazione insicura nello stesso server. Queste vulnerabilità sono state affrontate da SAP tra aprile e maggio 2023, ma non prima di essere sfruttate dagli attori delle minacce come zero-day almeno da marzo.
Attacchi e gruppi coinvolti
Sono stati osservati diversi gruppi di ransomware e di estorsione di dati, tra cui Qilin, BianLian e RansomExx, che hanno utilizzato questi difetti come armi. Inoltre, diverse squadre di spionaggio legate alla Cina li hanno impiegati in attacchi mirati a reti di infrastrutture critiche. L’esistenza dell’exploit è stata segnalata per la prima volta la scorsa settimana da vx-underground, che ha indicato che è stato rilasciato da Scattered Lapsus$ Hunters, una nuova alleanza formata da Scattered Spider e ShinyHunters.
Implicazioni dell’exploit
Secondo Onapsis, queste vulnerabilità consentono a un utente malintenzionato di eseguire comandi arbitrari sul sistema SAP di destinazione, incluso l’upload di file arbitrari. Questo può portare all’esecuzione remota del codice (RCE) e all’acquisizione completa del sistema interessato, compromettendo dati e processi aziendali SAP. L’exploit non solo permette di distribuire shell web, ma può anche essere utilizzato per condurre attacchi live-off-the-land (LotL), eseguendo direttamente i comandi del sistema operativo senza dover rilasciare ulteriori artefatti sul sistema compromesso.
Considerazioni finali
La scoperta di questo exploit evidenzia ancora una volta l’importanza di mantenere aggiornati i sistemi e di applicare tempestivamente le patch di sicurezza. Le organizzazioni devono essere proattive nel monitorare le vulnerabilità e nel rafforzare le loro difese per proteggere i dati sensibili e i processi aziendali. La collaborazione tra le aziende di sicurezza e le comunità di ricerca è cruciale per identificare e mitigare rapidamente le minacce emergenti. In un panorama di sicurezza in continua evoluzione, la vigilanza e la preparazione sono essenziali per prevenire compromissioni e garantire la continuità operativa.
Fonte: The Hackers News
