CVE-2023-0014 - Capture-replay vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform

Scritto da Massimo Manara | Jul 4, 2023 10:00:00 PM

Ti hanno segnalato la vulnerabilità CVE-2023-0014 e non sai da dove partire?

Vediamo assieme qualche suggerimento per affrontare e ridurre le situazioni di rischio descritte.

Che cosa è stato scoperto e di che vulnerabilità si tratta?

Fabian Hagg del SEC Consult Vulnerability Lab ha scoperto e pubblicato la documentazione di questa vulnerabilità attraverso questo documento

In poche parole, si tratta di un documento molto tecnico e dettagliato che dimostra quali siano le vulnerabilità del Kernel SAP nella gestione del protocollo RFC. In particolare, nella configurazione Trusted RFC ovvero quella configurazione che permette una autenticazione senza password.

Questa tipologia di configurazione è utilizzata ad esempio anche in S/4HANA quando il Front End Server e Back End Serve sono due macchine distinte. Oppure anche nella configurazione del SAP GRC Access Control Emergency Access Management. Vedi ad esempio transazione SM59 nell'immagine sotto. Ed Help SAP qui

Ma come mitigare o sistemare?

Non esistono particolari workaround ma è possibile mitigare la superficie di attacco attivando le seguenti funzionalità:

Utilizzare sempre protocolli sicuri di comunicazione (anche tra sistemi)
Limitare l'accesso alla tabella RFCSYSACL attivando uno specifico log (table trace)
Attivare l'UCON Unified Connectivity Framework
Attivare la protezione per le RFC Callback
Attivare dei log di controllo (alcuni strumenti di partner SAP hanno delle logiche specifiche di controllo) o rivedere periodicamente le connessioni RFC attive

Oltre a quanto sopra è chiaramente necessario attivare tutte le prescrizioni suggerite da SAP elencate in queste note:

Ovvero nei sistemi coinvolti:

Aggiornamento del Kernel
Aggiornamento delle patch di sicurezza
Migrazione delle trusted RFC con apposito programma

Qui una guida della SAP per tutti i passaggi operativi.

Visualizza articolo completo