小心!關(guān)鍵任務(wù)SAP應(yīng)用程序受到攻擊
全球有40多萬家企業(yè)和92%的福布斯全球2000強企業(yè)使用SAP的企業(yè)應(yīng)用程序進行供應(yīng)鏈管理(SCM)、企業(yè)資源規(guī)劃(ERP)、產(chǎn)品生命周期管理(PLM)和客戶關(guān)系管理(CRM)。
目前,SAP公司和云安全公司Onapsis已經(jīng)對此發(fā)出了警告,并且與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全機構(gòu)(CISA)以及德國網(wǎng)絡(luò)安全機構(gòu)BSI發(fā)起了合作,來督促SAP的客戶及時部署補丁,并檢查他們的環(huán)境中是否存在不安全的應(yīng)用程序。
被針對的SAP漏洞
Onapsis和SAP合作的威脅情報顯示,他們目前沒有發(fā)現(xiàn)有客戶已經(jīng)受到此次惡意活動的攻擊而造成損失。但是,報告表示SAP客戶的環(huán)境中仍然有不安全的應(yīng)用程序,并通過本應(yīng)在幾年前就被打補丁的攻擊載體將組織暴露在滲透企圖中。
自2020年中期,Onapsis開始記錄針對未打補丁的SAP應(yīng)用的利用嘗試以來,該公司的研究人員發(fā)現(xiàn) "在2020年6月至2021年3月期間,來自近20個國家的黑客發(fā)起了1500次攻擊嘗試,成功利用了300次"。
這些攻擊背后的黑客利用了SAP應(yīng)用程序中的多個安全漏洞和不安全配置,試圖入侵目標系統(tǒng)。
此外,他們中的一些黑客,同時在攻擊中利用多個漏洞進行串聯(lián),以 "最大限度地擴大影響和潛在的破壞"。
針對脆弱的SAP應(yīng)用程序的攻擊(SAP/Onapsis)
Onapsis表示,他們觀察到黑客可以利用技術(shù)來對不安全的SAP應(yīng)用程序進行完全控制,并且可以繞過常見的安全性和合規(guī)性控制,來使攻擊者能夠通過部署勒索軟件或停止企業(yè)系統(tǒng)運營來竊取敏感數(shù)據(jù)、執(zhí)行財務(wù)欺詐或破壞關(guān)鍵任務(wù)業(yè)務(wù)流程。
威脅報告中公布的漏洞和攻擊方式如下:
- 針對不安全的高權(quán)限SAP用戶賬戶進行蠻力攻擊。
- CVE-2020-6287(又名RECON):一個可遠程利用的預(yù)認證漏洞,能夠使未經(jīng)認證的攻擊者接管脆弱的SAP系統(tǒng)。
- CVE-2020-6207:超危預(yù)認證漏洞,可能導(dǎo)致進攻者接管未打補丁的SAP系統(tǒng)。(漏洞已于2021年1月發(fā)布在Github上)。
- CVE-2018-2380:使黑客能夠升級權(quán)限并執(zhí)行操作系統(tǒng)命令,從而獲得對數(shù)據(jù)庫的訪問權(quán),并在網(wǎng)絡(luò)中橫向移動。
- CVE-2016-95:攻擊者可以利用這個漏洞觸發(fā)拒絕服務(wù)(DoS)狀態(tài),并獲得對敏感信息的未授權(quán)訪問。
- CVE-2016-3976:遠程攻擊者可以利用它來升級權(quán)限,并通過目錄遍歷序列讀取任意文件,從而導(dǎo)致未經(jīng)授權(quán)的信息泄露。
- CVE-2010-5326:允許未經(jīng)授權(quán)的黑客執(zhí)行操作系統(tǒng)命令,并訪問SAP應(yīng)用程序和連接的數(shù)據(jù)庫,從而獲得對SAP業(yè)務(wù)信息和流程的完全和未經(jīng)審計的控制。
根據(jù)CISA發(fā)布的警報,受到這些攻擊的組織可能會產(chǎn)生以下影響:
- 敏感數(shù)據(jù)被盜
- 金融欺詐
- 關(guān)鍵任務(wù)業(yè)務(wù)流程中斷
- 勒索軟件攻擊
- 停止所有操作
為脆弱的SAP系統(tǒng)及時打上補丁是所有企業(yè)組織目前的首要任務(wù)。Onapsis還指出,攻擊者在更新發(fā)布后的72小時之內(nèi)就開始瞄準關(guān)鍵的SAP漏洞。
暴露和未打補丁的SAP應(yīng)用程序在不到3小時就會被攻破。
緩解威脅的措施
這些被濫用的漏洞只影響企業(yè)內(nèi)部的部署,包括那些在他們自己的數(shù)據(jù)中心、管理的主機托管環(huán)境或客戶維護的云基礎(chǔ)設(shè)施。SAP維護的云解決方案不受這些漏洞的影響。
為了減輕風險,SAP客戶可采取的行動如下:
- 立即對暴露在上述漏洞中的SAP應(yīng)用程序以及未及時安裝補丁的SAP應(yīng)用程序進行入侵評估。優(yōu)先考慮連網(wǎng)的SAP應(yīng)用程序。
- 立即評估SAP環(huán)境中所有應(yīng)用程序的風險,并立即應(yīng)用相關(guān)SAP安全補丁和安全配置。
- 立即評估SAP應(yīng)用程序是否存在配置錯誤或未經(jīng)授權(quán)的高權(quán)限用戶,并對有風險的應(yīng)用程序進行入侵評估。
- 如果經(jīng)過評估的SAP應(yīng)用程序目前已經(jīng)暴露,并且不能及時應(yīng)用緩解措施,則應(yīng)部署補償控制并監(jiān)控活動,以檢測任何潛在的威脅活動,直到實施緩解措施。
