Alerta sobre ICMAD. Su sistema SAP podría estar en peligro.
Diversas agencias de seguridad como CISA, CERT-EU, NCSC han alertado sobre un conjunto de vulnerabilidades graves denominadas ICMAD (Internet Communication Manager Advanced Desync) que afectan a aplicaciones SAP que utilizan Internet Communication Manager (ICM).
Las vulnerabilidades ICMAD individuales se identifican como CVE-2022-22536, CVE-2022-22532 y CVE-2022-22533, la primera de las cuales recibió la puntuación de riesgo más alta posible, un 10 de 10, mientras que las otras dos recibieron puntuaciones de 8.1 y 7.5, respectivamente.
Las vulnerabilidades de ICMAD son particularmente críticas porque las configuraciones que desencadenan la explotación de estas existen de manera predeterminada en SAP Internet Communication Manager (ICM). El ICM es uno de los componentes más importantes de un servidor de aplicaciones de SAP NetWeaver: está presente en la mayoría de los productos de SAP y es una parte fundamental de la pila de tecnología de SAP, ya que es el encargado de conectar las aplicaciones SAP con Internet.
Los agentes malintencionados pueden aprovechar fácilmente la vulnerabilidad más crítica (CVSSv3 10.0) en sistemas desprotegidos y dado que la explotación es relativamente simple, no requiere autenticación previa, no se requieren condiciones previas y el payload se puede enviar a través de HTTP(S), el servicio de red más utilizado para acceder a las aplicaciones de SAP la convierten en un elemento a corregir cuanto antes.
Alguno de los posibles usos de la explotación de la vulnerabilidad, podrían ser:
- Robo de información confidencial.
- Fraude financiero.
- Interrupción de los procesos de negocio.
- Ransomware
- Suspensión de todas las operaciones.
Tanto Onapsis Research Labs, el descubridor de ICMAD, como el SAP Product Security Response Team (PSRT) han trabajado en conjunto para parchear cuanto antes la misma.
Dicho trabajo culminó en la nota 3123396 que fue publicada en el SAP’s February 2022 Security Updates page.
Desde AURIT instamos a todas las empresas a remediar cuanto antes este posible y peligroso vector de ataque, para ello, estamos ayudando a auditar de forma gratuita a todos los interesados en conocer si sus sistemas son vulnerables.
Si necesitas que te ayudemos, tienes alguna duda o simplemente quieres contactar para más información, puedes hacerlo desde el apartado de contacto o bien escribiendo un mail a contacto@aurit.es.
Estaremos encantados de conversar contigo