Una vulnerabilidad crítica en SAP NetWeaver Application Server ha emergido como el objetivo más reciente de actores de amenazas respaldados por el estado chino, según la confirmación de investigadores sobre su explotación activa.
Esta vulnerabilidad de día cero, identificada como CVE-2023-7629, afecta a diversas versiones de SAP NetWeaver AS ABAP y faculta a los atacantes para lograr la ejecución remota de código sin necesidad de autenticación.
Expertos en seguridad alertan sobre la persistente vulnerabilidad de miles de sistemas SAP conectados a internet, a pesar de la publicación de parches de emergencia la semana anterior.
La vulnerabilidad reside en el componente SAP Internet Communication Manager (ICM), encargado de la gestión de solicitudes HTTP para aplicaciones SAP.
Se han detectado intentos iniciales de explotación dirigidos a instituciones financieras y empresas manufactureras que poseen propiedad intelectual de alto valor.
Una vez comprometidos, los sistemas afectados han sido utilizados como armas para establecer un acceso persistente y filtrar datos comerciales confidenciales, y varias víctimas informaron pérdidas financieras significativas e interrupciones operativas.
Los investigadores de Forescout identificaron una cadena de ataque sofisticada que aprovecha la vulnerabilidad para implementar malware personalizado al que denominaron «SAPphire».
Su análisis reveló que el malware establece canales de comando y control cifrados a través de protocolos de comunicación legítimos de SAP, lo que hace que la detección sea particularmente desafiante para las herramientas de seguridad tradicionales.
Los atacantes demostraron un amplio conocimiento de la arquitectura SAP, lo que sugiere un enfoque dedicado a los sistemas de planificación de recursos empresariales.
El vector de ataque comienza con una solicitud HTTP especialmente diseñada para instancias vulnerables de SAP NetWeaver, explotando la corrupción de la memoria en el componente ICM.
A este acceso inicial le sigue la entrega de carga útil que establece la persistencia a través de configuraciones de servicios SAP modificadas y trabajos programados.
La sofisticación de los ataques ha generado preocupación sobre las posibles implicaciones para la cadena de suministro, ya que los sistemas comprometidos podrían usarse para atacar a socios comerciales conectados.
Las organizaciones que ejecutan sistemas SAP están experimentando un impacto empresarial significativo, con varios entornos críticos desconectados para aplicar parches de emergencia.
La vulnerabilidad afecta a los sistemas de todas las industrias, y las agencias gubernamentales, los proveedores de atención médica y los operadores de infraestructura crítica se encuentran entre los que corren mayor riesgo debido a su dependencia de SAP para las operaciones comerciales principales.
La técnica de explotación utiliza el contrabando de solicitudes HTTP para eludir los controles de seguridad y desencadenar una vulnerabilidad de corrupción de memoria.
Al analizar los sistemas comprometidos, los equipos de seguridad descubrieron la siguiente carga útil de ataque:
POST /sap/bc/soap/rfc HTTP/1.1
Host: target-sap-server
Content-Type: text/xml
Content-Length: 1337
Connection: keep-alive
USERS
%s%s%s
La solicitud SOAP especialmente diseñada explota una validación de entrada inadecuada en la función RFC_READ_TABLE, donde el campo TEXTO contiene especificadores de formato de cadena que inducen corrupción de memoria y la consiguiente ejecución de código arbitrario.
Tras la ejecución exitosa, la carga útil establece una conexión de shell inversa, lo que permite a los atacantes la descarga de componentes de malware adicionales.
La cadena de ataque de SAP NetWeaver ilustra la manera en que este exploit inicial facilita el acceso persistente dentro de los entornos comprometidos.
