未修补的漏洞、常见的错误配置和自定义代码中的隐藏缺陷继续使企业 SAP 应用程序成为攻击者的目标丰富的环境,而此时勒索软件和凭据盗窃等威胁已成为组织的主要关注点。
Onapsis去年与 SAP 合作进行的一项研究发现,攻击者不断针对各种 SAP 应用程序中的漏洞,包括 ERP、供应链管理、产品生命周期管理和客户关系管理。自 2020 年以来,在希望利用已知漏洞(尤其是少数高度关键的 CVE)的攻击者中,对 SAP 端口的主动扫描有所增加。
研究表明,攻击者通常在首次披露后的短短 24 小时内就拥有新披露的漏洞的概念验证代码。并在三天内为他们充分发挥作用。Onapsis 观察到攻击者在短短三个小时内就发现并攻击了全新的云托管 SAP 系统。
然而,由于对业务中断和应用程序损坏的担忧,许多组织继续保持 SAP 应用程序未打补丁或几个月(有时甚至几年)未能应用推荐的更新。今年早些时候,Pathlock 赞助的一份报告基于对 SAPinsider 用户社区 346 名成员的调查,显示47% 的受访者将修补列为仅次于威胁检测的最大挑战。
Pathlock 首席执行官 Piyush Pandey 表示:“已知 SAP 漏洞总数为 1,143 个,组织仍在努力确定其中哪些漏洞对其特定环境的风险最大。“必须转变思维方式,将风险水平纳入考虑因素,以便立即缓解最紧迫的威胁”。
自定义代码的安全性被列为修补后的第二大问题,有 40% 的人认为这是一个问题。Pathlock 调查发现,许多组织拥有数十个甚至数百个 SAP 系统,这使得打补丁变得困难且耗时,尤其是因为他们试图避免中断和应用程序损坏。
这一趋势使许多组织面临可能导致数据盗窃、财务欺诈、关键任务应用程序中断、系统中断和其他负面后果的攻击。Qualys 首席安全工程师 Saeed Abbasi 说:“SAP 系统是黑客的高价值目标,因为它们是关键业务运营的核心,并且包含大量敏感和机密数据。” “成功的攻击可能会造成毁灭性的影响和破坏。”
以下是 SAP 应用程序环境中最常针对的漏洞。
未修补的 SAP 漏洞
与所有软件供应商一样,SAP 定期发布更新以解决其应用程序中的新漏洞和其他安全风险。今年到目前为止,SAP 已经披露了 196 个包含此类更新的 SAP 安全说明,这已经超过了该公司去年全年披露的 185 个。由于Apache Log4j 日志框架中的Log4Shell 漏洞,SAP 在 1 月份不得不发布的补丁数量比平时多一些,至少部分增长似乎与此有关。
研究表明,这些漏洞中的许多都是至关重要的,并且使攻击者能够做一些事情,例如获得应用程序或操作系统级别的访问权限、提升权限或执行跨系统攻击。
“只要打开任何漏洞数据库,您就会看到 50 多个最近的 SAP 漏洞,CVSS 得分大于 9,”SecurityBridge 的首席技术官兼联合创始人 Ivan Mans 说。今年到目前为止,已经有 17 个严重性超过 9.8 的关键 SAP 注释,接近他说的最高等级 10。“我们去年认为安全的东西今天可能不再安全。”
Onapsis 和 SAP 发现了攻击者多年来一直重点攻击的六个漏洞:CVE-2020-6287;CVE-2020-6207、CVE-2018-2380、CVE-2016-9563、CVE-2016-3976 和 CVE-2010-5326。所有人都有公开可用的漏洞,通常在 GitHub 上。
Onapsis 的首席技术官 JP Perez-Etchegoyen 将该列表中的两个漏洞列为 SAP 应用程序中三个最严重的漏洞之一:CVE-2020-6287 和 CVE-2010-5326。他认为非常关键的另一个漏洞是 SAP 今年披露的一个漏洞:CVE-2022-22536。
-
CVE-2020-6287,也称为 RECON,是 SAP NetWeaver Application Server Java 中的一个严重漏洞,允许未经身份验证的远程攻击者完全控制受影响的 SAP 应用程序。该漏洞带来的威胁(包括让攻击者创建具有最高权限的管理帐户)促使 CISA在 SAP 首次披露该漏洞时发布“强烈”建议立即修补的建议。
-
CVE-2010-5326是 SAP NetWeaver Application Server 中 Invoker Servlet 功能中的一个漏洞,于 2010 年首次披露(并已修补)。该漏洞使未经身份验证的威胁参与者能够执行操作系统级别的命令并接管应用程序和底层数据库。SAP 在 2010 年修补了该漏洞,但针对该漏洞的利用活动至今仍在继续,因为许多系统仍未针对该威胁进行修补。
-
CVE-2022-22536 或 ICMAD 漏洞是 SAP NetWeaver Application Server ABAP、SAP NetWeaver Application Server Java 和其他产品中的关键请求走私和请求串联漏洞。它允许未经身份验证的远程攻击者完全接管受影响的系统。
在剩下的四个漏洞中:
-
CVE-2018-2380是多个 SAP CRM 版本中的一个中等严重性验证不足漏洞,攻击者正在积极使用该漏洞来删除用于操作系统命令注入的 SAP Web shell。
-
CVE-2020-6207是一个与身份验证相关的漏洞,攻击者在跨系统攻击中使用该漏洞。
-
CVE-2016-9563是一个影响 SAP NetWeaver AS JAVA 7.5 组件的 2016 漏洞。这是攻击者与 RECON 漏洞链接以提升 SAP 服务器操作系统权限的漏洞之一。
-
CVE-2016-3976是 SAP NetWeaver AS Java 7.1 到 7.5 中的一个目录遍历漏洞,攻击者利用该漏洞从 SAP NetWeaver 服务器中窃取凭据等。
了解最关键漏洞的一个好方法是衡量它们,不仅通过(通用漏洞评分系统指标)而且通过它们被利用的程度。” 为此,他建议组织跟踪 CISA 的已知被利用漏洞目录。目前,该目录中有十个影响 SAP 的漏洞。“所有这十个已经并且正在被利用来破坏 SAP 应用程序,”他说。
SAP 配置错误
可以配置和更改 SAP 应用程序设置以满足新要求的数千种不同方式通常会导致组织以易受攻击的方式设置其 SAP 环境。Perez-Etchegoyen 说,与补丁和配置相关的安全问题之间的区别在于,在大多数情况下,当应用补丁时,风险就消失了。另一方面,配置不断变化,他说。
最常见的 SAP 配置问题包括配置不当的访问控制列表 (ACL) 以及使用弱、默认或众所周知的用户名和密码组合。
SecurityBridge 的 Mans 还指出过时或配置不当的 SAPRouter、SAP Web Dispatcher、Internet Communication Manager 和 SAP Gateway 技术等问题会给企业组织带来问题。其他与配置相关的问题包括无需身份验证即可访问的公开服务、对管理服务的未受保护或安全性不足的访问以及未加密的通信。
Onapsis/SAP 研究表明,尽管 SAP 提供了有关如何保护对特权帐户的访问的详细指导,但许多组织正在运行 SAP 应用程序,其中高特权帐户配置有默认密码或弱密码。研究发现,攻击者经常使用暴力攻击侵入 SAP*、SAPCPIC、TMSADM 和 CTB_ADMIN 帐户。
2019 年公开发布的一组被统称为 10KBlaze 的漏洞利用,明确了组织因不安全配置而面临的风险。这些漏洞针对 SAP Gateway 和 SAP Message Server 中的常见错误配置,使全球超过 50,000 家组织中大约90% 的 SAP 应用程序面临完全入侵的风险。
自定义 SAP 代码中的漏洞
许多组织经常为他们的 SAP 应用程序开发大量的自定义代码,以对其进行自定义或满足合规性要求以及其他原因。“组织经常定制 SAP 以满足特定的业务需求,”来自 Pathlock 的 Pandey 说。“示例包括自定义布局和表格。” 他说,应该定期检查此自定义代码是否存在可能使 SAP 系统受到攻击或滥用的缺陷。
Perez-Etchegoyen 确定了一些最关键的问题,包括 ABAP 命令中的注入缺陷、OS 命令和 OSQL 实用程序,因为它们暗示了整个系统的妥协。“还有许多其他漏洞也可能被滥用,从而对业务造成重大影响,但总的来说,注入缺陷往往会导致更严重的影响”。
SAP 还发现了一些其他问题,这些问题可能会渗入自定义代码并使 SAP 应用程序面临风险。其中包括潜在的 URL 重定向问题、HTTP 上传期间缺少内容检查、对数据库中敏感数据的读取访问和对敏感数据的写入访问。
开发团队在编写自定义代码时可能使用的开源和第三方代码中的漏洞是另一个问题。作为一个例子,Mans 指出了 Log4j 中的 Log4Shell 漏洞。“即使它不是立即成为 SAP 漏洞,但在 SAP 上运行的 SAP 应用程序或自定义应用程序很多都会受到影响并需要更新”。
最重要的是,SAP 中的安全漏洞可以有多种形式。“它们发生在供应商方面,但客户自己也有责任确保他们已配置和定制部署以实现安全性。”
组织需要了解 SAP 环境的风险可能来自外部参与者和内部人员。“每个领域都存在多个关键风险,它们之间的主要区别在于,软件[和]配置中的漏洞是威胁参与者所熟知的,目前正被外部威胁参与者用来破坏 SAP 应用程序。”
另一方面,自定义代码中的漏洞虽然超级严重,并且比其他两个漏洞出现的数量更多,但通常是更容易受到内部威胁的风险,因为这些漏洞通常可以被用户和一定级别的访问权限利用。
原文始发于微信公众号(网络研究院):攻击者试图利用的最常见的SAP漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论