Толпы хакеров набросились на ПО SAP

0
72

Исправили себе на горе

Приложения SAP подвергаются интенсивным атакам
по всему миру после того как компания выпустила ряд исправлений к критическим
уязвимостям в своих разработках. Между выпуском патчей и появлением первых
эксплойтов прошло не более 72 часов.

SAP и
ИБ-компания Onapsis6 апреля 2021 г. выпустили
совместный бюллетень, в котором указывается, что атаки на недавно исправленные
уязвимости могут привести к полному захвату контроля над приложениями SAP, а также краже
конфиденциальных данных, финансовому мошенничеству, нарушению критических
бизнес-процессов и внедрению шифровальщиков и других вредоносных программ.

В настоящее время
производятся брутфорс-атаки на аккаунты в SAP с высокими привилегиями. Кроме того,
злоумышленники пытаются эксплуатировать уязвимости CVE-2020-6287, CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 и CVE-2010-5326.

CVE-2020-6287
представляет собой критическую ошибку, позволяющую обходить авторизацию в SAP Net Weaver Application Server Java, что может приводить к
перехвату контроля над приложением.

Толпы хакеров набросились на ПО SAP

Приложения SAP подверглись серийной атаке после выхода патчей

CVE-2020-6207
также является критической ошибкой обхода авторизации, но на этот раз в SAP Solution Manager.

CVE-2018-2380
— уязвимость среднего уровня опасности в SAP CRM, которая позволяет злоумышленникам
эксплуатировать недостатки в валидации пути пользовательского ввода.

CVE-2016-9563
— еще одна уязвимость среднего уровня опасности, на этот раз в SAP Net Weaver AS Java. Злоумышленники с ее
помощью могут удаленно производить атаки класса XML External Entity (XXE), тем самым нарушая штатную процедуру обработки XML. Но это возможно только в
случае предварительной авторизации в приложении.

ЧИТАТЬ ТАКЖЕ:  На ноутбуках Windows 10 будет включаться мгновенно

CVE-2016-3976
— высокоопасная ошибка выхода за пределы каталога в SAP Net Weaver AS Java. С ее помощью злоумышленники могут считывать
произвольные файлы.

CVE-2010-5326
— ошибка 11-летней давности в компоненте InvokerServlet в приложении SAP Net Weaver AS Java. Авторизация для ее эксплуатации не требуется,
что открывает возможность для удаленной атаки или выполнения произвольного кода
через запросы HTTP или HTTPS.

DSaaS: почему анализ данных как услуга набирает обороты
Новое в СХД

Толпы хакеров набросились на ПО SAP

Любопытно, что с момента
объявления о выходе патчей и до первых атак прошли всего три дня. За это время
злоумышленники, по-видимому, успели проанализировать исправления и создать
нужные эксплойты.

По данным Onapsis, сейчас сразу
несколько кибергруппировок активно ищут и атакуют уязвимые приложения SAP. Атаки замечены из сетей
в Гонконге, Индии, Японии, Нидерландах, Сингапуре, Южной Корее, Швеции,
Тайвани, Великобритании, США, Вьетнама и Йемена. Часть таких группировок
предположительно действует скоординированно.

Злоумышленники тоже ставят патчи

Эксперты Onapsis уже наблюдали, как
злоумышленники, получившие доступ к приложениям SAP, использовали эти уязвимости для обеспечения себе
постоянного присутствия в системе, повышения привилегий, обхода защиты и, наконец,
установления полного контроля над системами SAP.

ЧИТАТЬ ТАКЖЕ:  Глава российского офиса «Касперского» после 18 лет работы ушел в «Мой офис»

Наблюдались и попытки
комбинировать разнообразные уязвимости для повышения привилегий в подлежащей
операционной системе, что означает угрозу уже не только приложениям SAP.

Например, минимум один раз
злоумышленники получили возможность создать администраторский аккаунт,
используя эксплойт для уязвимости CVE-2020-6287. Создав профиль и залогинившись в нем,
злоумышленники воспользовались дополнительными эксплойтами для CVE-2018-2380 для загрузки
шеллов с целью получения доступа к подлежащей операционной системе. За этим
производился запуск эксплойтов к CVE-2016-3976, с помощью которого злоумышленники
получали доступ к привилегированным аккаунтам для корневой базы данных. Вся процедура
производилась в течение полутора часов. В некоторых случаях, отмечают эксперты Onapsis, обосновавшись в
атакуемой системе, атакующие сами устанавливали патчи на уже использованные ими
уязвимости.

«Подобная практика — не
такая уж редкость, — говорит Михаил
Зайцев
, эксперт по информационной безопасности компании SEC Consult Services. — Тем самым
злоумышленники отсекают конкурентов и снижают вероятность обнаружения. С
установленными патчами системы выглядят защищенными и проверять их на
компрометацию будут уже постфактум. Самое лучшее, что можно сделать сейчас,
это срочно установить патчи на все уязвимые приложения SAP».

В мире насчитывается порядка
400 тыс. организаций, пользующихся решениями SAP для планирования корпоративных ресурсов, управления
продуктовыми циклами, взаимодействием с клиентами и т. д. Среди этих
организаций — объекты критической инфраструктуры, фармацевтические и оборонные
компании, поставщики продуктов питания и многие др.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь