黑客以 SAP 系統為目標進行反向工程
根據Onapsis和SAP聯合發布的一項研究,在安全補丁發布后的72小時內,本地SAP系統就會成為威脅行為者的目標。
黑客對SAP補丁進行反向工程,以創建自己的代碼來利用最近解決的漏洞,并使用它們針對SAP安裝。
SAP和Onapsis已與網絡安全和基礎架構安全局(CISA)以及德國網絡安全機構BSI合作,警告SAP客戶一旦安裝了安全更新,便會對其進行安裝并評估其本地安裝。
“防御者的窗口大大小于以前的想象,自補丁發布以來不到72小時就利用了SAP漏洞的示例,而在云環境(IaaS)中配置的新的不受保護的SAP應用程序卻在不到三個的時間內被發現并遭到了破壞小時”讀取Onapsis發布的報告。
“在許多情況下,觀察到的利用可能導致對不安全的SAP應用程序的完全控制,繞過常見的安全性和合規性控制,并使攻擊者能夠通過部署勒索軟件或停止運營來竊取敏感信息,執行財務欺詐或破壞關鍵任務業務流程。這些威脅也可能對沒有適當保護其SAP應用程序處理
威脅執行者針對直接針對敏感數據和關鍵流程的關鍵任務SAP應用程序進行復雜的攻擊。攻擊者試圖訪問SAP系統以修改配置和用戶并泄露敏感的業務信息
根據該報告,部署在云(IaaS)環境中的新的不安全SAP應用程序將在不到三個小時的時間內受到網絡攻擊的攻擊。
此外,攻擊者使用概念驗證代碼攻擊SAP系統,但也使用蠻力攻擊來接管高特權的SAP用戶帳戶。這些攻擊的目標是完全控制SAP部署,以修改配置和用戶帳戶以泄露業務信息。
老練的攻擊者顯示出對SAP體系結構的深入了解,他們使用這些鏈接來鏈接多個漏洞,以特定的SAP應用程序為目標,以最大程度地提高入侵效率,在許多情況下,專家觀察到使用了私有漏洞利用程序。
“重要的是要注意,盡管觀察到的大多數威脅活動都與使用SAP補丁后發布的可公開利用的漏洞有關,但是Onapsis研究人員已經檢測到公有領域中不存在的自定義/私有漏洞的跡象,”報告繼續說道。 。
Onapsis設置了蜜罐來研究針對SAP安裝的攻擊,并確定正在積極掃描和利用以下漏洞:
?CVE-2010-5326
?CVE-2018-2380
?CVE-2016-3976
?CVE-2016-9563
? CVE-2020-6287
SAP和Onapsis在其報告中提供的建議列表下方:
- 立即對仍然暴露于此處提到的漏洞或在發布相關SAP安全補丁后仍未及時保護的SAP應用程序執行危害評估,應優先考慮面向互聯網的SAP應用程序
- 立即評估SAP環境中的所有應用程序是否存在風險,并立即應用相關的SAP安全補丁和安全配置
- 立即評估SAP應用程序中是否存在配置錯誤和/或未經授權的高特權用戶,并對有風險的應用程序進行危害評估
- 如果當前暴露了評估的SAP應用程序且無法及時應用緩解措施,則應實施補償控制并監控活動,以檢測任何潛在的威脅活動,直到實施此類緩解措施為止。
“此外,風險,網絡安全和SAP領導者應實施特定的關鍵任務應用程序保護計劃,作為其整體網絡安全性和合規性策略的一部分,以有效,全面地保護這些應用程序。” 總結報告。
