Aktywne cyberataki na aplikacje SAP o znaczeniu krytycznym dla Twojej firmy
Dzisiaj udostępniamy informacje o raporcie SAP i Onapsis z kwietnia 2021r. jak również bardziej aktualncyh podatnościach systemw i Aplikacji z grupy SAP’a.
Raport ten zawiera analizy zagrożeń i ma pomóc klientom SAP chronić się przed aktywnymi zagrożeniami cybernetycznymi, których celem jest konkretnie ukierunkowanie, zidentyfikowanie i narażenie na szwank organizacji korzystających z niezabezpieczonych aplikacji SAP, za pomocą różnych wektorów cyberataków. SAP i Onapsis zdecydowanie doradzają organizacjom podjęcie natychmiastowych działań, w tym szybkie zastosowanie odpowiednich poprawek zabezpieczeń SAP i dokładny przegląd konfiguracji zabezpieczeń ich środowisk SAP.
Ostrzeżenia i powiadomienia w tej sprawie opracowały również amerykański Departament Bezpieczeństwa Wewnętrznego CISA i niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI).
Firma SAP niezwłocznie załatała wszystkie zaobserwowane krytyczne luki w zabezpieczeniach i udostępniła je klientom. Niestety, SAP i Onapsis nadal obserwują wiele organizacji, które wciąż nie zastosowały odpowiednich środków zapobiegawczych, pozwalając niezabezpieczonym systemom SAP na dalsze działanie i, w wielu przypadkach, pozostają widoczne dla atakujących przez Internet.
„Systemy SAP z przestarzałym lub źle skonfigurowanym oprogramowaniem są narażone na zwiększone ryzyko złośliwych ataków. Aplikacje SAP pomagają organizacjom zarządzać krytycznymi procesami biznesowymi, takimi jak planowanie zasobów przedsiębiorstwa, zarządzanie cyklem życia produktu, zarządzanie relacjami z klientami i zarządzanie łańcuchem dostaw” — zauważa CISA.
Organizacjom korzystającym z oprogramowania SAP zaleca się przeprowadzenie oceny narażenia tych aplikacji, zwłaszcza w przypadku zasobów dostępnych w Internecie, ocenę wszystkich aplikacji w środowisku SAP, ocenę błędów konfiguracji i natychmiastowe zastosowanie wszystkich dostępnych poprawek w razie potrzeby.
Od czasu raportu SAP opublikował dwa duże wydania. W maju SAP opublikowała łącznie sześć nowych uwag dotyczących bezpieczeństwa, wraz z aktualizacjami pięciu innych uwag dotyczących bezpieczeństwa, w tym trzech ocenionych jako pilne.
Pierwsza z zaktualizowanych notatek Hot News (wynik CVSS 10) dotyczy aktualizacji zabezpieczeń Chromium dostarczanych z SAP Business Client – w wersji 90.0.4430.93 ta aktualizacja Chromium naprawia 63 luki w zabezpieczeniach.
W pozostałych dwóch zaktualizowanych notatkach z wynikiem CVSS wynoszącym 9,9 załatano usterkę umożliwiającą zdalne wykonanie kodu w regułach źródłowych SAP Commerce oraz problem wstrzykiwania kodu odpowiednio w Business Warehouse i BW/4HANA.
Pierwsze dwa bugi mają wpływ na Business One dla SAP HANA i mogą prowadzić do wstrzyknięcia kodu, umożliwiając atakującemu przejęcie pełnej kontroli nad aplikacją, podczas gdy trzecia dotyczy Business One na SQL Server i może prowadzić do ujawnienia danych płacowych.
Trzecia uwaga dotycząca zabezpieczeń o wysokim stopniu ważności dotyczy problemu wstrzykiwania kodu w programie NetWeaver AS ABAP, który może umożliwić osobie atakującej mającej dostęp do lokalnego systemu SAP odczyt i nadpisanie danych lub przeprowadzenie ataku typu „odmowa usługi” (DoS).
Niektóre z kluczowych ustaleń zawartych w tym raporcie analizy zagrożeń obejmują:
- Hakerzy są aktywni oraz ich dzialania sa szeroko rozpowszechnione
- Dowody na ponad 300 zautomatyzowanych atakow wykorzystujących siedem wektorów ataków specyficznych dla SAP i ponad 100 skutecznych przeprowadzonych przez wielu różnych cyberprzestępców. Wyraźne dowody zaawansowanej wiedzy o domenach, w tym implementacjach poprawek SAP po złamaniu zabezpieczeń.
- Okno czasowe jest małe (czas od upublicznienia do przeszukiwania systemow przez atakujacych)
- Krytyczne luki w zabezpieczeniach SAP są wyszukiwane w mniej niż 72 godziny od wydania poprawki, a nowe, niezabezpieczone aplikacje SAP udostępniane w środowiskach chmurowych (IaaS) są wykrywane i zagrożone w czasie krótszym niż trzy godziny.
- Zagrożenia mają ogromny wpływ na bezpieczeństwo
- Eksploatacja prowadziłaby do pełnej kontroli nad niezabezpieczonymi aplikacjami SAP, z pominięciem powszechnych kontroli bezpieczeństwa, umożliwiając atakującym kradzież poufnych informacji, dokonywanie oszustw finansowych lub zakłócanie krytycznych procesów biznesowych poprzez wdrażanie oprogramowania ransomware lub zatrzymywanie dzialalnosci. Zagrożenia mogą również mieć istotne konsekwencje w zakresie zgodności z przepisami, w tym SOX, RODO, CCPA i innych.
Gorąco zachęcamy do pobrania raportu o zagrożeniach zarowno administratorow jak rowniez inne osoby odpowiedzialne w firmach korzystajacych z produktow SAP, aby ocenić, czy jesteście zagrożeni i jakie działania należy natychmiast podjąć, aby chronić swoją firmę. Ten raport zawiera również szczegółowe informacje o konkretnych technikach, narzędziach i procedurach (TTP) zaobserwowanych przez naszych ekspertów, umożliwiając reagowanie na tę aktywność tak szybko, jak to możliwe.
