Vulnerabilidades en SAP Internet Graphics Service

sap

Esta alerta fue publicada originalmente en «una-al-día» de Hispasec Sistemas.

Según la información suministrada por el investigador Mariano Nuñez Di Croce, el equipo de CYBSEC ha descubierto dos importantes vulnerabilidades en SAP IGS (Internet Graphics Service) que han sido confirmadas por el fabricante.

SAP Internet Graphics Service (IGS) es un componente del servidor de aplicaciones SAP Web Application Server, frecuentemente utilizado para poder generar salida gráfica a los parámetros de operación del ERP. Usos habituales de IGS comprenden desde la elaboración de diagramas mediante Chart Engine o Chart Designer hasta casuísticas más especializadas, como los sistemas de información georgráfica, a través de Business Information Warehouse. IGS es también el motor básico para la conversión de formatos de imágenes y gráficos.

En el primer caso, un error de diseño permitiría a los atacantes la conducción de un ataque de denegación de servicio. Para ello bastaría con suministrar al servidor de imágenes una petición HTTP especialmente conformada, lo que podría desembocar en el colapso total del servidor, con los consiguientes perjuicios relacionados con la continuidad.

Las versiones afectadas son SAP IGS 6.40 con Patchlevel 15 e inferiores, así como SAP IGS 7.00 con Patchlevel 3 e inferiores. Habida cuenta de que IGS es un componente multiplataforma, se confirma el estado de vulnerabilidad en las principales plataformas derivadas de UNIX empleadas con habitualidad para servir vía SAP: AIX 64, HP-UX IA64 64bit, HP-UX PA-RISC 64bit, Linux IA64 64bit, Linux Power 64bit, Linux x86_64 64bit, Linux zSeries 64bit, OS/400 V5R2M0, Solaris SPARC 64bit y TRU64 64bit

Desde la versión 6.30 de SAP Web Application Server, IGS se encuentra activado por defecto en todas las configuraciones base. La posibilidad de ejecutar este ataque de forma remota confiere a la vulnerabilidad un estatus de criticidad elevada.

El segundo problema descubierto permitiría, bajo ciertas condiciones, aprovechar un error de diseño para forzar un desbordamiento de búfer. Las versiones afectadas son las mismas que en el caso anterior, añadiéndose a las plataformas vulnerables las variantes Microsoft: * Windows Server IA32 32bit, Windows Server IA64 64bit y Windows Server x64 64bit.

El impacto de esta vulnerabilidad depende de la plataforma, si bien en ambos casos es extraordinariamente crítico. En derivados UNIX, es posible la ejecución remota de código arbitrario con los privilegios que competen a la cuenta (adm) de administración, lo que prácticamente pone a los pies de los atacantes la infraestructura completa de SAP. En el caso de Windows los privilegios alcanzados corresponden a una cuenta de sistema LocalSystem, que permite igualmente tomar control ilegítimo de la infraestructura.

Los detalles concretos de ambas vulnerabilidades serán revelados por completo en el plazo de 3 meses, siguiendo así la política de revelación acordada con el fabricante, para tratar de impedir al máximo que los atacantes dispongan de datos suficientes e inmediatos para poder explotar los problemas documentados.

Los administradores SAP deben recurrir, para obtener más información, al boletín emitido por la compañía. La referencia asignada es SAP Note 968423. Es recomendable, dada la criticidad habitual de estos despliegues, efectuar las actualizaciones de la mano del servicio de soporte de la compañía.

Más información

SAP Internet Graphics Service (IGS) Remote Denial of Service
http://www.cybsec.com/vuln/CYBSEC-Security_Pre-Advisory_SAP_IGS_Remote_Denial_of_Service.pdf

SAP Internet Graphics Service (IGS) Remote Buffer Overflow
http://www.cybsec.com/vuln/CYBSEC-Security_Pre-Advisory_SAP_IGS_Remote_Buffer_Overflow.pdf