黑客以 SAP 系统为目标进行反向工程

Andrew 2021-04-07
专栏 - 资讯 发布于 2021-04-07 10:49:10 阅读 106 评论 0

根据Onapsis和SAP联合发布的一项研究,在安全补丁发布后的72小时内,本地SAP系统就会成为威胁行为者的目标。

黑客对SAP补丁进行反向工程,以创建自己的代码来利用最近解决的漏洞,并使用它们针对SAP安装。

SAP和Onapsis已与网络安全和基础架构安全局(CISA)以及德国网络安全机构BSI合作,警告SAP客户一旦安装了安全更新,便会对其进行安装并评估其本地安装。

“防御者的窗口大大小于以前的想象,自补丁发布以来不到72小时就利用了SAP漏洞的示例,而在云环境(IaaS)中配置的新的不受保护的SAP应用程序却在不到三个的时间内被发现并遭到了破坏小时”读取Onapsis发布的报告。

“在许多情况下,观察到的利用可能导致对不安全的SAP应用程序的完全控制,绕过常见的安全性和合规性控制,并使攻击者能够通过部署勒索软件或停止运营来窃取敏感信息,执行财务欺诈或破坏关键任务业务流程。这些威胁也可能对没有适当保护其SAP应用程序处理

SAP系统

威胁执行者针对直接针对敏感数据和关键流程的关键任务SAP应用程序进行复杂的攻击。攻击者试图访问SAP系统以修改配置和用户并泄露敏感的业务信息

根据该报告,部署在云(IaaS)环境中的新的不安全SAP应用程序将在不到三个小时的时间内受到网络攻击的攻击。

此外,攻击者使用概念验证代码攻击SAP系统,但也使用蛮力攻击来接管高特权的SAP用户帐户。这些攻击的目标是完全控制SAP部署,以修改配置和用户帐户以泄露业务信息。

老练的攻击者显示出对SAP体系结构的深入了解,他们使用这些链接来链接多个漏洞,以特定的SAP应用程序为目标,以最大程度地提高入侵效率,在许多情况下,专家观察到使用了私有漏洞利用程序。

“重要的是要注意,尽管观察到的大多数威胁活动都与使用SAP补丁后发布的可公开利用的漏洞有关,但是Onapsis研究人员已经检测到公有领域中不存在的自定义/私有漏洞的迹象,”报告继续说道。 。

Onapsis设置了蜜罐来研究针对SAP安装的攻击,并确定正在积极扫描和利用以下漏洞:
•CVE-2010-5326
•CVE-2018-2380
•CVE-2016-3976
•CVE-2016-9563
• CVE-2020-6287

SAP和Onapsis在其报告中提供的建议列表下方:

  • 立即对仍然暴露于此处提到的漏洞或在发布相关SAP安全补丁后仍未及时保护的SAP应用程序执行危害评估,应优先考虑面向互联网的SAP应用程序
  • 立即评估SAP环境中的所有应用程序是否存在风险,并立即应用相关的SAP安全补丁和安全配置
  • 立即评估SAP应用程序中是否存在配置错误和/或未经授权的高特权用户,并对有风险的应用程序进行危害评估
  • 如果当前暴露了评估的SAP应用程序且无法及时应用缓解措施,则应实施补偿控制并监控活动,以检测任何潜在的威胁活动,直到实施此类缓解措施为止。

“此外,风险,网络安全和SAP领导者应实施特定的关键任务应用程序保护计划,作为其整体网络安全性和合规性策略的一部分,以有效,全面地保护这些应用程序。” 总结报告。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!