SAP系统安全补丁更新72小时内被活跃攻击

根据新的研究，网络攻击者正积极地将目光投向不安全的SAP应用程序，以试图窃取信息并破坏关键流程。

“在许多情况下，观察到的利用可能导致对不安全的SAP应用程序的完全控制，绕过常见的安全性和合规性控制，并使攻击者能够通过部署勒索软件或停止运营来窃取敏感信息，执行财务欺诈或破坏关键任务业务流程，”网络安全公司Onapsis和SAP在今天发布的联合报告中说。

这家总部位于波士顿的公司表示，在2020年中至2021年3月之间，共进行了1500次针对先前已知的针对SAP系统的漏洞和不安全配置的攻击，成功检测到300多次成功利用活动，而攻击者针对这些攻击和威胁进行了多次暴力破解。-特权SAP帐户，以及将若干缺陷链接在一起以攻击SAP应用程序。

目标应用包括但不限于企业资源计划（ERP），供应链管理（SCM），人力资本管理（HCM），产品生命周期管理（PLM），客户关系管理（CRM）等。

令人不安的是，Onapsis报告概述了从补丁发布之日起不到72小时内SAP漏洞的武器化情况，而在云环境中配置的新的不受保护的SAP应用程序却在不到3小时内被发现并遭到破坏。

在一个案例中，SAP在2020年7月14日发布了CVE-2020-6287补丁程序（下文中有更多内容）的第二天，概念验证漏洞在野外出现，随后在7月16日进行了大规模扫描活动，于2020年7月17日发布功能齐全的公共漏洞利用程序。

攻击媒介同样复杂。发现这些攻击者采用了各种技术，工具和过程来获取初始访问权限，提升特权，删除Web Shell以执行任意命令，创建具有高特权的SAP管理员用户，甚至提取数据库凭据。攻击本身是在TOR节点和分布式虚拟专用服务器（VPS）的帮助下发起的。

威胁参与者利用的六个缺陷包括：

CVE-2010-5326（CVSS得分：10）-SAP NetWeaver Application Server（AS）Java中的远程代码执行缺陷

CVE-2016-3976（CVSS得分：7.5）-SAP NetWeaver AS Java中的目录遍历漏洞

CVE-2016-9563（CVSS得分：6.4）-SAP NetWeaver AS Java的BC-BMT-BPM-DSK组件中的XML外部实体（ XXE）扩展漏洞

CVE-2018-2380（CVSS得分：6.6）-SAP CRM中Internet Sales组件中的目录遍历漏洞

CVE-2020-6207（CVSS分数：9.8）-SAP解决方案管理器中缺少身份验证检查

CVE-2020-6287（CVSS得分：10） -LM配置向导组件中的RECON（NetWeaver上又名远程可利用代码）漏洞

首次披露于2020年7月，对CVE-2020-6287的成功利用可以使未经身份验证的攻击者拥有对受影响的SAP系统的完全访问权限，其中包括“修改财务记录，窃取员工，客户和供应商的个人身份信息（PII）的能力，破坏数据，删除或修改日志和跟踪以及其他使基本业务运营，网络安全和法规遵从性受到威胁的操作。”

Onapsis还表示，它能够检测到2020年10月19日CVE-2020-6207的扫描活动，这距2021年1月14日公开发布完全有效的漏洞利用将近三个月，这意味着威胁行为者已经知道公开披露之前的漏洞利用。

此外，发现在12月9日观察到的另一项攻击将三个漏洞的利用链接起来，这三个漏洞是：CVE-2020-6287（用于创建管理员用户并登录到SAP系统），CVE-2018-2380（用于特权升级）和CVE -2016-3976，用于访问高特权帐户和数据库。

“这一切都在90分钟之内发生，” Onapsis研究人员指出。

尽管尚未发现任何客户违规情况，但SAP和Onapsis都敦促企业对应用程序进行折衷评估，应用相关补丁，并解决错误配置，以防止未经授权的访问。

Onapsis公司首席执行官Mariano Nunez说：“关键发现描述了利用补丁和安全配置准则对漏洞的攻击，甚至持续了数月甚至数年。” daccess-ods.un.org daccess-ods.un.org “不幸的是，在网络安全和关键任务应用程序的合规性方面，仍然有太多组织在治理方面存在重大差距，从而允许外部和内部威胁行为者访问，渗透并完全控制其最敏感和受监管的信息和流程。”

Nunez补充说：“没有优先考虑快速缓解这些已知风险的公司应考虑其系统受到损害，并立即采取适当措施。”

美国网络安全和基础架构安全局（CISA）还发布了警告，警告说SAP威胁领域中正在进行持续的恶性网络活动，并指出“运行过时或配置错误的软件的系统容易受到恶意攻击的风险。”

原文来自: thehackernews.com