Системы SAP подвергаются атаке в среднем через 72 часа после установки исправлений

Компании, использующие локальные системы SAP, подвергаются атакам в среднем через 72 часа после выпуска исправлений для уязвимостей. Как сообщается в совместном уведомлении компаний Onapsis и SAP, в ходе недавнего исследования ландшафта угроз SAP эксперты зафиксировали более 300 успешных попыток эксплуатации.

Результаты исследования позволяют сделать вывод о том, что злоумышленники проводят обратную разработку исправлений для SAP с целью создания PoC-кода для эксплуатации уязвимостей, который они могут использовать в качестве оружия против пользователей SAP. Как выяснили эксперты, эксплуатация уязвимостей начинается менее чем за 72 часа с момента выпуска исправлений, а новые приложения SAP, внедренные в облачные среды, обнаруживаются и взламываются менее чем за 3 часа.

По словам компаний, атаки не были простыми одноразовыми попытками, но также иногда включали несколько этапов, в том числе использование цепочек уязвимостей. Кроме того, злоумышленники использовали PoC-код для осуществления брутфорс-атак на системы SAP с целью перехватить контроль над учетными записями пользователей SAP с высокими привилегиями.

С целью побудить предприятия применить исправления для старых уязвимостей в SAP компания Onapsis намерена сделать свое решение безопасности Onapsis Platform for Cybersecurity and Compliance доступным бесплатно по трехмесячной подписке в SAP Store.

Список уязвимостей, использованых злоумышленниками против ханипотов SAP, включает:

• Критическую уязвимость CVE-2020-6287 , затрагивающую версии SAP NetWeaver AS JAVA (LM Configuration Wizard) 7.30, 7.31, 7.40 и 7.50. Проблема связана с отсутствием проверки аутентификации, позволяющей неавторизованному злоумышленнику выполнить задачи конфигурации для выполнения критических действий в отношении системы SAP Java, включая возможность создания пользователя с правами администратора;
• Критическую уязвимость CVE-2020-6207 , затрагивающую версию SAP Solution Manager (User Experience Monitoring) 7.2 и связанную с отсутствием проверки аутентификации;
• Критическую проблему CVE-2010-5326. Сервлет Invoker на платформах Java версии сервера приложений SAP NetWeaver старше 7.3 не требует аутентификации, позволяя удаленным злоумышленникам выполнять произвольный код с помощью HTTP- или HTTPS-запроса;
• Критическую уязвимость CWЕ-307, связанную с отсутствием надлежащих мер для предотвращения нескольких неудачных попыток аутентификации за короткий промежуток времени, подвергая системы риску брутфорс-атак;
• И четыре менее опасные проблемы (CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 и CWE-200).