W kwietniu bieżącego roku pokazał się wspólny raport SAP i Onapsis, który stwierdzał, że hackerzy stale atakują nowe luki w aplikacjach SAP. Zawsze w ciągu kilku dni od udostępnienia poprawek bezpieczeństwa.
W niektórych przypadkach próby wykorzystania zostały zaobserwowane wkrótce po upublicznieniu błędów bezpieczeństwa: skanowanie w poszukiwaniu podatnych systemów rozpoczęło się 48 godzin po wydaniu łatek, a rzeczywiste próby wykorzystania nastąpiły około 24 godziny później.
Oprogramowanie SAP jest wykorzystywane w ponad 400 000 organizacji (w tym 1000 rządowych i należących do rządu) do planowania zasobów, zarządzania cyklem życia produktu, kapitałem ludzkim i łańcuchem dostaw oraz do różnych innych celów. Aplikacje SAP stanowią atrakcyjny cel dla przeciwników.
Podczas badania obie organizacje zaobserwowały aż 300 udanych przypadków wykorzystania luk w zabezpieczeniach SAP. Przede wszystkim ataki miały na celu modyfikację konfiguracji i kont użytkowników, aby ostatecznie uzyskać dostęp do informacji biznesowych i je wykraść.
„Nowe niezabezpieczone aplikacje SAP udostępniane w środowiskach chmurowych (IaaS) zostały wykryte i zaatakowane w czasie krótszym niż trzy godziny, co podkreśla potrzebę zapewnienia bezpieczeństwa nowych aplikacji o znaczeniu krytycznym od pierwszego dnia” – czytamy w raporcie.
Obie organizacje twierdzą, że wyrafinowani cyberprzestępcy wykorzystują różne wektory ataków, aby narażać organizacje na niebezpieczeństwo za pomocą niechronionych aplikacji, w tym łączenia wielu luk charakterystycznych dla wdrożeń SAP.
Badanie ujawnia również, że cyberprzestępcy podejmują liczne próby ataków na konta użytkowników SAP o wysokim poziomie uprawnień, co po raz kolejny pokazuje, że utrzymywanie bezpiecznych konfiguracji systemu jest równie ważne, jak stałe aktualizowanie oprogramowania.
Luki w SAP wykorzystywane przez cyberprzestępców
Wykorzystywane luki to CVE-2020-6287 (znany również jako RECON, ten krytyczny błąd ma 10 punktów CVSS), CVE-2020-6207 (również 10 punktów CVSS), CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 i CVE-2010-5326. Pomyślne wykorzystanie niezałatanych błędów SAP może prowadzić do kradzieży poufnych danych, oszustw finansowych, zakłócenia krytycznych procesów biznesowych i ataków ransomware, a nawet zmusić organizacje do całkowitego zawieszenia działalności.
Jednak pomimo znanego atakowania podatnych systemów SAP, niektóre organizacje nie stosują dostępnych poprawek w odpowiednim czasie. Dlatego wspólnie z Departamentem Bezpieczeństwa Wewnętrznego USA (DHS) Agencją Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) oraz niemieckim Federalnym Urzędem ds. Cyberbezpieczeństwa (BSI), SAP i Onapsis doradzają organizacjom, aby natychmiast zastosowały dostępne poprawki.
„Systemy SAP z przestarzałym lub źle skonfigurowanym oprogramowaniem są narażone na zwiększone ryzyko złośliwych ataków. Aplikacje SAP pomagają organizacjom zarządzać krytycznymi procesami biznesowymi, takimi jak planowanie zasobów przedsiębiorstwa, zarządzanie cyklem życia produktu, zarządzanie relacjami z klientami i zarządzanie łańcuchem dostaw” — zauważa CISA.
Organizacjom korzystającym z oprogramowania SAP zaleca się przeprowadzenie oceny narażenia tych aplikacji, zwłaszcza w przypadku zasobów dostępnych w Internecie, ocenę wszystkich aplikacji w środowisku SAP, ocenę błędów konfiguracji i natychmiastowe zastosowanie wszystkich dostępnych poprawek w razie potrzeby.
Od czasu raportu SAP opublikował dwa duże wydania. W maju SAP opublikowała łącznie sześć nowych uwag dotyczących bezpieczeństwa, wraz z aktualizacjami pięciu innych uwag dotyczących bezpieczeństwa, w tym trzech ocenionych jako pilne.
Pierwsza z zaktualizowanych notatek Hot News (wynik CVSS 10) dotyczy aktualizacji zabezpieczeń Chromium dostarczanych z SAP Business Client – w wersji 90.0.4430.93 ta aktualizacja Chromium naprawia 63 luki w zabezpieczeniach.
W pozostałych dwóch zaktualizowanych notatkach z wynikiem CVSS wynoszącym 9,9 załatano usterkę umożliwiającą zdalne wykonanie kodu w regułach źródłowych SAP Commerce oraz problem wstrzykiwania kodu odpowiednio w Business Warehouse i BW/4HANA.
Trzy z nowych informacji o bezpieczeństwie opublikowanych w tym dniu poprawek zabezpieczeń dotyczą błędów o wysokim stopniu ważności, dwie dotyczą błędów o średniej wadze, a jedna łata problem o niskiej wadze.
Pierwsze dwie wady mają wpływ na Business One dla SAP HANA i mogą prowadzić do wstrzyknięcia kodu, umożliwiając atakującemu przejęcie pełnej kontroli nad aplikacją, podczas gdy trzecia dotyczy Business One na SQL Server i może prowadzić do ujawnienia danych płacowych.
Trzecia uwaga dotycząca zabezpieczeń o wysokim stopniu ważności dotyczy problemu wstrzykiwania kodu w programie NetWeaver AS ABAP, który może umożliwić osobie atakującej mającej dostęp do lokalnego systemu SAP odczyt i nadpisanie danych lub przeprowadzenie ataku typu „odmowa usługi” (DoS).
„Tylko potrzeba dostępu lokalnego, w połączeniu z faktem, że atakujący wymaga wysokich uprawnień do uruchomienia programu, zapobiega oznaczeniu tej luki wynikiem CVSS równym 10”, wyjaśniał Onapsis.
W ostatnim, lipcowym wydaniu SAP dalej boryka się z podatnościami dotyczącymi NetWeavera. Koncern opublikował 12 nowych informacji o zabezpieczeniach, a także aktualizacje trzech wcześniej opublikowanych uwag dotyczących bezpieczeństwa.
Najważniejsze z nowych uwag dotyczących bezpieczeństwa dotyczą dwóch luk o wysokim stopniu istotności w NetWeaver. Pierwszy to brak autoryzacji (CVE-2021-33671, wynik CVSS 7,6), a drugi to odmowa usługi (CVE-2021-33670, wynik CVSS 7,5).
Pierwsza luka dotyczy SAP NetWeaver Guided Procedures (SAP GP), komponentu Composite Application Framework (CAF), który zapewnia oparty na rolach dostęp do wielu systemów zaplecza. Brak autoryzacji został zidentyfikowany w centralnym narzędziu administracyjnym może prowadzić do nieuprawnionego dostępu do danych i manipulacji nimi.
Druga luka dotyczy SAP NetWeaver AS for Java (usługa HTTP) i istnieje, ponieważ żądania HTTP nie są prawidłowo sprawdzane podczas przechowywania danych monitorowania. W ten sposób osoba atakująca, która może manipulować żądaniami HTTP, może wyczerpać zasoby systemu, powodując stan odmowy usługi.
Trzecia zaktualizowana uwaga dotycząca zabezpieczeń dotyczy luki w zabezpieczeniach XML External Entity (XXE) o średnim poziomie ważności w SAP Process Integration (ESR Java Mappings).