Fallas de SAP ASE podrían permitir a ciberdelincuentes controlar servidores de bases de datos

Un conjunto de vulnerabilidades críticas fueron descubiertas en el software de base de datos Sybase de SAP lo que permitiría el acceso y control completo sobre alguna base de datos específica e incluso el sistema operativo.

Investigadores de la firma Trustwave informaron sobre seis vulnerabilidades mientras realizaban pruebas de seguridad para la última versión del software, ASE 16. Software de gestión de bases de datos relacionales orientado a aplicaciones basadas en transacciones.

La vulnerabilidad más grave, CVE-2020-6248, tiene un puntaje CVSS de 9.1 sobre 10. La falla se debe a la falta de controles de seguridad para sobrescribir archivos de configuración críticos durante las operaciones de respaldo de la base de datos. Eso significa que cualquier usuario sin
privilegios que pueda ejecutar un comando DUMP, puede enviar un archivo de configuración dañado, lo que puede provocar la toma de control de la base de datos. Luego, el servidor detectará este archivo y lo reemplazará con una configuración predeterminada, que permite a cualquier persona conectarse al servidor de respaldo mediante el inicio de sesión y una contraseña vacía.

Varias vulnerabilidades de SAP

Una segunda vulnerabilidad, CVE-2020-6252, se refiere a ASE Cockpit, una consola administrativa basada en la web que se utiliza para monitorear el estado y la disponibilidad de los servidores ASE. Al afectar solo las instalaciones de Windows de ASE 16, la falla permite que un ciberdelincuente con acceso a una red local capture las credenciales de la cuenta de usuario, sobrescriba los archivos del sistema operativo e incluso ejecute código malicioso con privilegios de LocalSystem.

Los investigadores también encontraron dos fallas de inyección SQL, CVE-2020-6241 y CVE-2020- 6253 que permite que un usuario autentificado ejecute consultas de bases de datos diseñadas para elevar sus privilegios mediante inyección SQL.

Existe un quinto defecto CVE-2020-6243, que se produce cuando el servidor ejecuta un procedimiento almacenado («dummy_esp») y no realiza las verificaciones necesarias a un usuario autentificado, permitiendo así a los usuarios de Windows ejecutar código arbitrario y eliminar datos en el servidor ASE.

Por último, se encuentra la vulnerabilidad CVE-2020-6250 que implica la divulgación de información en sistemas Linux en los que un atacante autenticado puede leer las contraseñas de administrador del sistema desde los registros de instalación.