Un nuevo conjunto de vulnerabilidades críticas descubiertas en el software de base de datos Sybase de SAP puede otorgar a los atacantes sin privilegios un control completo sobre una base de datos objetivo e incluso el sistema operativo subyacente en ciertos escenarios.
Las seis fallas, reveladas hoy por la firma de seguridad cibernética Trustwave, residen en Sybase Adaptive Server Enterprise (ASE), un software de administración de bases de datos relacionales orientado a aplicaciones basadas en transacciones.
La compañía de ciberseguridad dijo que los problemas, tanto específicos del sistema operativo como de la plataforma en su conjunto, se descubrieron durante una prueba de seguridad del producto, una de las cuales tiene una calificación CVSS de 9.1.
Identificada como CVE-2020-6248, la vulnerabilidad más grave permite la ejecución de código arbitrario al realizar copias de seguridad de la base de datos, lo que permite que un atacante active la ejecución de comandos maliciosos.
«Durante las operaciones de respaldo de la base de datos, no hay controles de seguridad para sobrescribir archivos de configuración críticos», dijeron los investigadores de Trustwave en un informe compartido con The Hacker News. «Eso significa que cualquiera que pueda ejecutar el comando DUMP (por ejemplo, los propietarios de bases de datos) puede realizar tareas muy peligrosas».
Una segunda vulnerabilidad (CVE-2020-6252) se refiere a ASE Cockpit, una consola administrativa basada en web que se usa para monitorear el estado y la disponibilidad de los servidores ASE. Al afectar solo a las instalaciones de Windows de ASE 16, la falla permite que un mal actor tenga acceso a una red local para capturar las credenciales de la cuenta de usuario, sobrescribir los archivos del sistema operativo e incluso ejecutar código malicioso con privilegios de LocalSystem.
Otras dos fallas (CVE-2020-6241 y CVE-2020-6253) permiten que un usuario autenticado ejecute consultas de base de datos diseñadas para elevar sus privilegios a través de inyección SQL, lo que permite que un usuario sin privilegios especiales obtenga acceso de administrador de base de datos.
En el último caso, un volcado de base de datos ASE controlado por un atacante se altera con datos maliciosos antes de cargarlo en un servidor ASE de destino.
Existe una quinta falla (CVE-2020-6243) cuando el servidor no realiza las comprobaciones necesarias para un usuario autenticado mientras ejecuta un procedimiento almacenado («dummy_esp»), lo que permite a los usuarios de Windows ejecutar código arbitrario y eliminar datos en el servidor ASE.
Por último, CVE-2020-6250 implica la divulgación de información en sistemas Linux en los que un atacante autenticado puede leer las contraseñas del administrador del sistema de los registros de instalación.
«Los registros solo se pueden leer en la cuenta de SAP, pero cuando se unen con algún otro problema que permite el acceso al sistema de archivos, [it] comprometerá por completo el SAP ASE «, señalaron los investigadores.
Después de que Trustwave divulgara responsablemente los hallazgos a Sybase, SAP abordó los problemas en un parche que se lanzó el mes pasado, el 12 de mayo.
«Las organizaciones a menudo almacenan sus datos más críticos en bases de datos que, a su vez, a menudo están necesariamente expuestas en entornos no confiables o expuestos públicamente», dijo Trustwave.
«Esto hace que vulnerabilidades como estas sean esenciales para abordar y probar rápidamente, ya que no solo amenazan los datos en la base de datos, sino también potencialmente el host completo en el que se ejecuta».
Se recomienda enfáticamente que los usuarios actualicen a la última versión de ASE para resolver las fallas.
Además de estas seis fallas en Adaptive Server, SAP también ha lanzado parches de seguridad críticos para el servidor de aplicaciones ABAP, Business Client, BusinessObjects, Master Data Governance, Plant Connectivity, NetWeaver y el software SAP Identity Management como parte de su lote de parches de mayo de 2020.
