Un simple mail pour DoS un SAP ? Voir plus….

CERT-DVT Sécurité SAP

English version
dev-light.png

Introduction

Presque toutes les versions de SAP Netweaver supportent nativement le protocole SMTP (Simple Mail Transfer Protocol), cela permet d’échanger des e-mails entre le système SAP et un serveur de messagerie, sans utiliser de composants externes. SAP est capable de gérer les flux sortants mais aussi rentrants. Cela signifie qu’un système SAP Netweaver pourrait recevoir un e-mail de l’extérieur et gérer les pièces jointes … automatiquement.

Une vulnérabilité à été trouvé, par Joris van de Vis, dans la Class SAP CL_UWS_FORM_RUNTIME_MAIL, où le processus « does not sufficiently validate document accepted from an untrusted source » (source : SAP Note 2308217). Cela conduit à plusieurs impacts comme la récupération de fichiers ou encore un déni de service (DDoS).

dev-logistic.png

Comment vérifier si vous êtes vulnérable ?

Pour qu’un attaquant soit en mesure d’exploiter cette vulnérabilité, plusieurs prérequis sont nécessaires. Ci-dessous les vérifications à effectuer pour savoir si ces prérequis sont valider.

La version SAP_ABA ?

La correction de cette vulnérabilité est fournis, pour chaque version du composant SAP_ABA, dans les numéros de support package suivant. En dessous de ceci vous avez le bug de sécurité.

75A – SAPK-75A03INSAPABA
750 – SAPK-75003INSAPABA
740 – SAPKA74015
731 – SAPKA73118
730 – SAPKA73015
720 – ALL SUPP. PACKAGES
711 – SAPKA71115
702 – SAPKA70218
701 – SAPKA70118
700 – SAPKA70033

SMTP activé ?

Sur votre SAP Système, aller via la transaction smicm / Goto / Services, puis vérifié si l’entrée ‘smtp’ exist et est active.

Gestion des mail en réception  ?

Vérifier si vous effectué des actions sur les mails en réception, avec la transaction scot / Settings / Inbound Messages / Inbound Processing. Puis vérifier si vous utilisez la class CL_UWS_FORM_RUNTIME_MAIL dans votre configuration.

Le service SMTP accessible à distance ?

Est-ce que le service SAP SMTP, configuré dans la smicm, est accessible ?

dev-target.png

Déni de Service PoC

Que se passerait il si un attaquant crash votre système SAP pendant la clôture financière mensuel pendant plusieurs heures ou jours ? Le DDoS est l’un des risques majeurs pour les environnements SAP, et aussi, dans notre exemple, l’une des méthodes les plus facile pour exploiter ce type de bug.

  • Depuis la machine de l’attaquant, envoi d’un simple mail avec une pièce jointe malveillante :

  • Quelques secondes plus tard, toute la mémoire du serveur SAP est utilisé, et le système freeze.

 

Ce type d’attaque peut-être automatisé pour envoyer ces mails périodiquement, etc.

dev-target.png

D’autres menaces

Le DDoS affecte tout les types de système d’exploitation, mais si le système SAP tourne sur Windows il est alors aussi possible d’utiliser cette vulnérabilité pour récupérer les hashs NTLM de l’utilisateur SAPserviceSID, en envoyant un autre type de pièce jointe.

Normalement, une attaque de type SMB Replay n’est pas possible avec cette utilisateur (Option : Allow log on locally disable est activé). Mais comme souligné par Joris lors de la dernière conférence Troopers, parfois, vous pouvez les casser et essayer de les réutiliser….

Parce que, généralement, les administrateurs SAP ne changent pas aussi régulièrement les mots de passe des utilisateurs service, et aussi il arrive que le mot de passe soit encore le « SAP master password » renseigné pendant l’installation. Tester ce mot passe sur les utilisateurs système sidadm, sapadm ou sur les utilisateurs SAP, SAP*, DDIC, peut fonctionner.

dev-risk-and-security.png

Correction et conclusion

Ci-après quelques recommandations pour mitiger le risque :

_ Désactiver le service SMTP sur le système SAP si vous ne l’utilisez pas.
_ Restreindre l’accès au service SMTP.
_ Appliquer les patchs de sécurité : 2308217 et 1712860.
_ Mettre à jour le mot de passe de SAPserviceSID.

References :

You’ve got mail – Joris van de Vis – Troopers 2017.
smbrelayxAlberto Solino – Core Security
Configuring SAP SMTP Service – Tobias Hofmann – SAP Blog
SAP Note 455140 – Configuration of e-mail, fax, paging/SMS via SMTP
SAP Note 2308217 – Missing XML Validation vulnerability in Web-Survey
SAP Note 1712860 – iXML: Protection against attacks via a DTD

N’hésitez pas à consulter notre offre SAP Sécurité :
http://www.devoteam.fr/en/offers/risk-security/expert-articles/secure-your-sap-against-new-threats

  • SAP Audit Assessment
  • SAP Penetration Testing
  • Remediation Process
  • Training
  • etc.