Positive Technologies помогла закрыть уязвимости в продуктах SAP

Positive Technologies помогла закрыть уязвимости в продуктах SAP

Positive Technologies помогла закрыть уязвимости в продуктах SAP

Ошибки позволяют похищать пароли и идентификаторы сессий пользователей, атаковать внутренние сервисы, выполнять вредоносные действия в приложении от имени атакуемого. Уязвимости обнаружены специалистами Positive Technologies Александром Швецовым и Михаилом Ключниковым и к настоящему моменту устранены компанией SAP.

Первые две уязвимости относятся к типу XSS (межсайтовое выполнение сценариев). Более опасная из них (CVE-2017-16685) выявлена в компоненте хранилища данных SAP Business Warehouse Universal Data Integration, она получила оценку 6,9 балла и присутствует в версиях 7.50 и ниже. Вторая уязвимость найдена в SAP NetWeaver Development Infrastructure Cockpit, получила оценку 5,4 и описана в уведомлении о безопасности (SAP Security Note) под номером 2444673.

«Обе уязвимости вызваны отсутствием должной фильтрации значений параметров пользовательского запроса к серверу, которое позволяет атакующему выполнить произвольный код JavaScript в браузере пользователя, — отметил руководитель отдела безопасности бизнес-систем Positive Technologies Дмитрий Гуцко. — Злоумышленнику достаточно отправить своей жертве специально сформированную ссылку (как в случае CVE-2017-16685) или, обладая правами авторизованного пользователя, добавить вредоносный код на страницу приложения (SecurityNote 2444673). Это может привести к хищению идентификатора сессии пользователя или выполнению любого действия в приложении от имени атакуемого».

Также специалисты Positive Technologies обнаружили уязвимость CVE-2017-16678 (6,6 балла) в SAP NetWeaver Knowledge Management Configuration Service — приложении SAP, отвечающем за конфигурацию системы. Уязвимость класса Server-Side Request Forgery (SSRF)[3] позволяет авторизованному в приложении злоумышленнику атаковать различные сервисы, находящиеся во внешних или внутренних сетях, вынуждая сервер, на котором находится уязвимое приложение SAP, отправлять произвольные вредоносные HTTP-запросы на соответствующие узлы сети. Эксплуатация уязвимости возможна и от лица легитимного пользователя, если тот, будучи авторизованным в приложении, зайдет на подконтрольную злоумышленнику страницу — в данном сценарии может дополнительно использоваться подделка межсайтового запроса (Cross Site Request Forgery). Ошибки обнаружены в компонентах EPBC и EPBC2 в версиях с 7.00 по 7.02, а также KMC-BC версий 7.30, 7.31, 7.40 и 7.50.

Помимо этого, в приложении SAP NetWeaver System Landscape Directory, которое служит для хранения данных об аппаратных и программных компонентах, была выявлена уязвимость раскрытия информации (описана в Security Note под номером 2527770, оценка 4,3). Она позволяет атакующему с помощью сканирования портов получить информацию о внутренней сети, в которой находится сервер.

Позднее компания SAP также устранила уязвимости CVE-2018-2401 и CVE-2018-2366, найденные экспертами Positive Technologies в SAP Business Process Automation (BPA) By Redwood — платформе, предназначенной для автоматизации бизнес-процессов предприятия.

Дефект CVE-2018-2401 (оценка 5,4 балла) обнаружен в версии 9.0 в SAP BPA. Он позволяет авторизованному в системе пользователю читать любые файлы сервера, используя недостаток обработки XML-документов пользователя, что приводит к атаке внедрения внешних сущностей (XML External Entity). Для эксплуатации уязвимости злоумышленник может передать на сервер специально сформированный XML-документ, что спровоцирует ошибку, в тексте которой будет находиться содержание файла сервера.

Вторая уязвимость в SAP BPA относится к типу «Обход каталога» (Directory Traversal, CVE-2018-2366), она получила оценку 4,3 балла. Ей подвержены версии 9.0 и 9.1. Причиной возникновения этого недостатка послужил неверный парсинг строки запроса на стороне сервера, что позволяет читать локальные файлы сервера, включая системные. Чтение файлов может привести к перехвату чувствительных данных пользователей, например их паролей или конфигурационных файлов, что далее может привести к обходу системы защиты.

«Многие компании в России и мире применяют продукты SAP. Вместе с клиентами мы заинтересованы обеспечении безопасности и сохранности данных в системах SAP и прилагаем большие усилия для этого – как на стадии разработки самого продукта, так и во время внедрения и при дальнейшей поддержке, – говорит Дмитрий Костров, директор по информационной безопасности SAP CIS. –  Для поиска возможных проблем и уязвимостей и их устранения мы работаем с локальными и мировыми специалистами по информационной безопасности. Хотим поблагодарить экспертов Positive Technologies, с которыми мы успешно сотрудничаем на протяжении многих лет, за исследование безопасности наших продуктов, проведенное на самом высоком уровне – это позволяет оперативно вносить исправления в программный код и делать наши продукты максимально защищенными. Традиционная рекомендация всем клиентам SAP — следить за выходом SAP Notes по безопасности и своевременно устанавливать обновления. В соответствии с нашими соглашениями исследования об уязвимостях в продуктах SAP публикуются через определенное время после выхода исправлений для них. Перечисленные уязвимости, обнаруженные специалистами Positive Technologies, были нами устранены в период с сентября 2017 года по март 2018 года».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы AV Killer используют драйвер Avast для отключения защитного софта

В новой кампании киберпреступники используют старую версию легитимного антируткит-драйвера Avast для отключения защитных программ, ухода от детектирования и получения контроля над системой.

В этих атаках участвует один из вариантов вредоносной программы AV Killer. Последняя содержит жёстко запрограммированный список из 142 имён антивирусных процессов.

Поскольку упомянутый драйвер Avast работает на уровне ядра, злоумышленники получают доступ к критически важным компонентам операционной системы. Например, что при желании вредонос может завершать практически любые процессы.

Как отмечают обратившие внимание на атаки AV Killer специалисты компании Trellix, операторы зловреда задействуют хорошо известную технику BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер).

Попав в систему, файл AV Killer с именем kill-floor.exe устанавливает заранее уязвимый драйвер уровня ядра — ntfs.bin (помещается в директорию пользователя по умолчанию).

После этого вредоносная программа создаёт службу aswArPot.sys с помощью Service Control (sc.exe) и регистрирует сам драйвер.

 

Как мы уже отмечали, у AV Killer есть жёстко заданный в коде список из 142 процессов, который сверяется со снепшотом активных процессов. Согласно отчёту Trellix этот список выглядит так:

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru