• Votre panier est vide.

  • LOGIN

Des failles SAP ASE récemment corrigées pourraient permettre aux attaquants de pirater les serveurs de bases de données


Certains articles de veille peuvent faire l'objet de traduction automatique.


Un nouvel ensemble de vulnérabilités critiques découvertes dans le logiciel de base de données Sybase de SAP peut donner aux attaquants non privilégiés un contrôle complet sur une base de données ciblée et même sur le système d’exploitation sous-jacent dans certains scénarios.

Les six failles, révélées aujourd’hui par la société de cybersécurité Trustwave, résident dans Sybase Adaptive Server Enterprise (ASE), un logiciel de gestion de bases de données relationnelles orienté vers les applications transactionnelles.

La société de cybersécurité a déclaré que les problèmes – à la fois spécifiques au système d’exploitation et à la plate-forme dans son ensemble – ont été découverts lors d’un test de sécurité du produit, dont l’un a une note CVSS de 9,1.

Identifiée en tant que CVE-2020-6248, la vulnérabilité la plus grave permet l’exécution de code arbitraire lors de la sauvegarde de la base de données, permettant ainsi à un attaquant de déclencher l’exécution de commandes malveillantes.

« Lors des opérations de sauvegarde de la base de données, il n’y a pas de contrôles de sécurité pour l’écrasement des fichiers de configuration critiques », Trustwave les chercheurs ont dit dans un rapport partagé avec The Hacker News. « Cela signifie que quiconque peut exécuter la commande DUMP (par exemple, les propriétaires de bases de données) peut effectuer des tâches très dangereuses. »

Une deuxième vulnérabilité (CVE-2020-6252) concerne ASE Cockpit, une console d’administration Web utilisée pour surveiller l’état et la disponibilité des serveurs ASE. N’affectant que les installations Windows d’ASE 16, la faille permet à un mauvais acteur ayant accès à un réseau local de capturer les informations d’identification du compte utilisateur, d’écraser les fichiers du système d’exploitation et même d’exécuter du code malveillant avec les privilèges LocalSystem.

Deux autres défauts (CVE-2020-6241 et CVE-2020-6253) permet à un utilisateur authentifié d’exécuter des requêtes de base de données spécialement conçues pour élever ses privilèges via l’injection SQL, permettant à un utilisateur sans privilèges spéciaux d’accéder à un administrateur de base de données.

Dans ce dernier cas, un vidage de base de données ASE contrôlé par un attaquant est modifié avec des données malveillantes avant de le charger dans un serveur ASE cible.

Une cinquième faille (CVE-2020-6243) existe lorsque le serveur n’effectue pas les vérifications nécessaires pour un utilisateur authentifié lors de l’exécution d’une procédure stockée (« dummy_esp »), permettant aux utilisateurs Windows d’exécuter du code arbitraire et de supprimer des données sur le serveur ASE.

Enfin, CVE-2020-6250 implique la divulgation d’informations dans les systèmes Linux dans lesquels un attaquant authentifié peut lire les mots de passe de l’administrateur système à partir des journaux d’installation.
« Les journaux ne sont lisibles que sur le compte SAP, mais lorsqu’ils sont associés à un autre problème qui autorise l’accès au système de fichiers, [it] compromettra complètement SAP ASE », ont noté les chercheurs.

Après que Trustwave a divulgué de manière responsable les résultats à Sybase, SAP a résolu les problèmes dans un patch qui a été publié le mois dernier le 12 mai.

«Les organisations stockent souvent leurs données les plus critiques dans des bases de données, qui, à leur tour, sont souvent nécessairement exposées dans des environnements non approuvés ou exposés publiquement», a déclaré Trustwave.

«Cela rend les vulnérabilités comme celles-ci essentielles à traiter et à tester rapidement car elles ne menacent pas seulement les données de la base de données, mais potentiellement l’hôte complet sur lequel elle s’exécute.

Il est fortement recommandé aux utilisateurs de mettre à jour vers la dernière version d’ASE pour résoudre les failles.

Outre ces six failles d’Adaptive Server, SAP a également publié des correctifs de sécurité critiques pour le serveur d’applications ABAP, Business Client, BusinessObjects, Master Data Governance, Plant Connectivity, NetWeaver et SAP Identity Management Software dans le cadre de son lot de correctifs de mai 2020.

Voir aussi :

novembre 25, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)