记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

SAP系统安全补丁更新72小时内被活跃攻击

2021-04-08 13:34

更多全球网络安全资讯尽在邑安全

根据新的研究,网络攻击者正积极地将目光投向不安全的SAP应用程序,以试图窃取信息并破坏关键流程。

“在许多情况下,观察到的利用可能导致对不安全的SAP应用程序的完全控制,绕过常见的安全性和合规性控制,并使攻击者能够通过部署勒索软件或停止运营来窃取敏感信息,执行财务欺诈或破坏关键任务业务流程,”网络安全公司Onapsis和SAP在今天发布的联合报告中

这家总部位于波士顿的公司表示,在2020年中至2021年3月之间,共进行了1500次针对先前已知的针对SAP系统的漏洞和不安全配置的攻击,成功检测到300多次成功利用活动,而攻击者针对这些攻击和威胁进行了多次暴力破解。-特权SAP帐户,以及将若干缺陷链接在一起以攻击SAP应用程序。

目标应用包括但不限于企业资源计划(ERP),供应链管理(SCM),人力资本管理(HCM),产品生命周期管理(PLM),客户关系管理(CRM)等。

令人不安的是,Onapsis报告概述了从补丁发布之日起不到72小时内SAP漏洞的武器化情况,而在云环境中配置的新的不受保护的SAP应用程序却在不到3小时内被发现并遭到破坏。

在一个案例中,SAP在2020年7月14日发布了CVE-2020-6287补丁程序(下文中有更多内容)的第二天,概念验证漏洞在野外出现,随后在7月16日进行了大规模扫描活动,于2020年7月17日发布功能齐全的公共漏洞利用程序。

攻击媒介同样复杂。发现这些攻击者采用了各种技术,工具和过程来获取初始访问权限,提升特权,删除Web Shell以执行任意命令,创建具有高特权的SAP管理员用户,甚至提取数据库凭据。攻击本身是在TOR节点和分布式虚拟专用服务器(VPS)的帮助下发起的。


威胁参与者利用的六个缺陷包括:

CVE-2010-5326(CVSS得分:10)-SAP NetWeaver Application Server(AS)Java中的远程代码执行缺陷

CVE-2016-3976(CVSS得分:7.5)-SAP NetWeaver AS Java中的目录遍历漏洞

CVE-2016-9563(CVSS得分:6.4)-SAP NetWeaver AS Java的BC-BMT-BPM-DSK组件中的XML外部实体( XXE)扩展漏洞

CVE-2018-2380(CVSS得分:6.6)-SAP CRM中Internet Sales组件中的目录遍历漏洞

CVE-2020-6207(CVSS分数:9.8)-SAP解决方案管理器中缺少身份验证检查

CVE-2020-6287(CVSS得分:10) -LM配置向导组件中的RECON(NetWeaver上又名远程可利用代码)漏洞

首次披露于2020年7月,对CVE-2020-6287的成功利用可以使未经身份验证的攻击者拥有对受影响的SAP系统的完全访问权限,其中包括“修改财务记录,窃取员工,客户和供应商的个人身份信息(PII)的能力,破坏数据,删除或修改日志和跟踪以及其他使基本业务运营,网络安全和法规遵从性受到威胁的操作。”

Onapsis还表示,它能够检测到2020年10月19日CVE-2020-6207的扫描活动,这距2021年1月14日公开发布完全有效的漏洞利用将近三个月,这意味着威胁行为者已经知道公开披露之前的漏洞利用。

此外,发现在12月9日观察到的另一项攻击将三个漏洞的利用链接起来,这三个漏洞是:CVE-2020-6287(用于创建管理员用户并登录到SAP系统),CVE-2018-2380(用于特权升级)和CVE -2016-3976,用于访问高特权帐户和数据库。

“这一切都在90分钟之内发生,” Onapsis研究人员指出。

尽管尚未发现任何客户违规情况,但SAP和Onapsis都敦促企业对应用程序进行折衷评估,应用相关补丁,并解决错误配置,以防止未经授权的访问。

Onapsis公司首席执行官Mariano Nunez说:“关键发现描述了利用补丁和安全配置准则对漏洞的攻击,甚至持续了数月甚至数年。” daccess-ods.un.org daccess-ods.un.org “不幸的是,在网络安全和关键任务应用程序的合规性方面,仍然有太多组织在治理方面存在重大差距,从而允许外部和内部威胁行为者访问,渗透并完全控制其最敏感和受监管的信息和流程。”

Nunez补充说:“没有优先考虑快速缓解这些已知风险的公司应考虑其系统受到损害,并立即采取适当措施。”

美国网络安全和基础架构安全局(CISA)还发布了警告,警告说SAP威胁领域中正在进行持续的恶性网络活动,并指出“运行过时或配置错误的软件的系统容易受到恶意攻击的风险。”

原文来自: thehackernews.com

原文链接: https://thehackernews.com/2021/04/watch-out-mission-critical-sap.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 




知识来源: https://mp.weixin.qq.com/s?__biz=MzUyMzczNzUyNQ==&mid=2247501500&idx=1&sn=7d06fb2cf04635d258d3e777d0fef353

阅读:9755 | 评论:0 | 标签:攻击 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“SAP系统安全补丁更新72小时内被活跃攻击”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄

🧚 🤲 🧜

标签云