Wapro ERP Desktop jest podatny na wymuszony downgrade protokołu MS SQL przez serwer, co skutkuje przesyłaniem danych w formie niezaszyfrowanej. Umożliwia to przechwycenie i modyfikację wrażliwych danych biznesowych przez atakującego.
▸ Pokaż oryginał (EN)
Wapro ERP Desktop is vulnerable to MS SQL protocol downgrade request from a server side, what could lead to an unencrypted communication vulnerable to data interception and modification. This issue affects Wapro ERP Desktop versions before 9.00.0.
Podatność polega na tym, że aplikacja akceptuje żądanie obniżenia wersji protokołu komunikacyjnego MS SQL inicjowane po stronie serwera (lub podszywającego się pod serwer atakującego). Po wymuszeniu downgrade'u komunikacja między klientem Wapro ERP Desktop a serwerem bazy danych odbywa się bez szyfrowania. Atakujący posiadający dostęp do segmentu sieciowego może następnie podsłuchiwać ruch (atak typu man-in-the-middle) i przechwytywać lub manipulować przesyłanymi danymi.
Atakujący może przechwycić poufne dane przesyłane między aplikacją a serwerem bazy danych, w tym dane uwierzytelniające i dane biznesowe, a także dokonać ich nieuprawnionej modyfikacji w trakcie transmisji.
Należy zaktualizować Wapro ERP Desktop do wersji 9.00.0 lub nowszej. Dodatkowo zaleca się segmentację sieci oraz ograniczenie dostępu do segmentu, w którym odbywa się komunikacja z serwerem MS SQL, aby utrudnić przeprowadzenie ataku man-in-the-middle.
Wapro ERP Desktop w wersjach wcześniejszych niż 9.00.0
Podatność została opublikowana przez CERT Polska (cert.pl). Wymagana jest obecność atakującego w segmencie sieciowym (AT:P w wektorze CVSS), co częściowo ogranicza zasięg zagrożenia.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:U/V:C/RE:M/U:Amber