Menu dostępności

Administratorze SAP jeśli od dwóch miesięcy nie instalowałeś patchy to lepiej to zrób!

W kwietniu bieżącego roku pokazał się wspólny raport SAP i Onapsis, który stwierdzał, że hackerzy stale atakują nowe luki w aplikacjach SAP. Zawsze w ciągu kilku dni od udostępnienia poprawek bezpieczeństwa.

W niektórych przypadkach próby wykorzystania zostały zaobserwowane wkrótce po upublicznieniu błędów bezpieczeństwa: skanowanie w poszukiwaniu podatnych systemów rozpoczęło się 48 godzin po wydaniu łatek, a rzeczywiste próby wykorzystania nastąpiły około 24 godziny później.

Oprogramowanie SAP jest wykorzystywane w ponad 400 000 organizacji (w tym 1000 rządowych i należących do rządu) do planowania zasobów, zarządzania cyklem życia produktu, kapitałem ludzkim i łańcuchem dostaw oraz do różnych innych celów. Aplikacje SAP stanowią atrakcyjny cel dla przeciwników.

Podczas badania obie organizacje zaobserwowały aż 300 udanych przypadków wykorzystania luk w zabezpieczeniach SAP. Przede wszystkim ataki miały na celu modyfikację konfiguracji i kont użytkowników, aby ostatecznie uzyskać dostęp do informacji biznesowych i je wykraść.

„Nowe niezabezpieczone aplikacje SAP udostępniane w środowiskach chmurowych (IaaS) zostały wykryte i zaatakowane w czasie krótszym niż trzy godziny, co podkreśla potrzebę zapewnienia bezpieczeństwa nowych aplikacji o znaczeniu krytycznym od pierwszego dnia” – czytamy w raporcie.

Obie organizacje twierdzą, że wyrafinowani cyberprzestępcy wykorzystują różne wektory ataków, aby narażać organizacje na niebezpieczeństwo za pomocą niechronionych aplikacji, w tym łączenia wielu luk charakterystycznych dla wdrożeń SAP.

Badanie ujawnia również, że cyberprzestępcy podejmują liczne próby ataków na konta użytkowników SAP o wysokim poziomie uprawnień, co po raz kolejny pokazuje, że utrzymywanie bezpiecznych konfiguracji systemu jest równie ważne, jak stałe aktualizowanie oprogramowania.


Luki w SAP wykorzystywane przez cyberprzestępców

Wykorzystywane luki to CVE-2020-6287 (znany również jako RECON, ten krytyczny błąd ma 10 punktów CVSS), CVE-2020-6207 (również 10 punktów CVSS), CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 i CVE-2010-5326. Pomyślne wykorzystanie niezałatanych błędów SAP może prowadzić do kradzieży poufnych danych, oszustw finansowych, zakłócenia krytycznych procesów biznesowych i ataków ransomware, a nawet zmusić organizacje do całkowitego zawieszenia działalności.

Jednak pomimo znanego atakowania podatnych systemów SAP, niektóre organizacje nie stosują dostępnych poprawek w odpowiednim czasie. Dlatego wspólnie z Departamentem Bezpieczeństwa Wewnętrznego USA (DHS) Agencją Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) oraz niemieckim Federalnym Urzędem ds. Cyberbezpieczeństwa (BSI), SAP i Onapsis doradzają organizacjom, aby natychmiast zastosowały dostępne poprawki.

„Systemy SAP z przestarzałym lub źle skonfigurowanym oprogramowaniem są narażone na zwiększone ryzyko złośliwych ataków. Aplikacje SAP pomagają organizacjom zarządzać krytycznymi procesami biznesowymi, takimi jak planowanie zasobów przedsiębiorstwa, zarządzanie cyklem życia produktu, zarządzanie relacjami z klientami i zarządzanie łańcuchem dostaw” — zauważa CISA.

Organizacjom korzystającym z oprogramowania SAP zaleca się przeprowadzenie oceny narażenia tych aplikacji, zwłaszcza w przypadku zasobów dostępnych w Internecie, ocenę wszystkich aplikacji w środowisku SAP, ocenę błędów konfiguracji i natychmiastowe zastosowanie wszystkich dostępnych poprawek w razie potrzeby.

Od czasu raportu SAP opublikował dwa duże wydania. W maju SAP opublikowała łącznie sześć nowych uwag dotyczących bezpieczeństwa, wraz z aktualizacjami pięciu innych uwag dotyczących bezpieczeństwa, w tym trzech ocenionych jako pilne.

Pierwsza z zaktualizowanych notatek Hot News (wynik CVSS 10) dotyczy aktualizacji zabezpieczeń Chromium dostarczanych z SAP Business Client – w wersji 90.0.4430.93 ta aktualizacja Chromium naprawia 63 luki w zabezpieczeniach.

W pozostałych dwóch zaktualizowanych notatkach z wynikiem CVSS wynoszącym 9,9 załatano usterkę umożliwiającą zdalne wykonanie kodu w regułach źródłowych SAP Commerce oraz problem wstrzykiwania kodu odpowiednio w Business Warehouse i BW/4HANA.

Trzy z nowych informacji o bezpieczeństwie opublikowanych w tym dniu poprawek zabezpieczeń dotyczą błędów o wysokim stopniu ważności, dwie dotyczą błędów o średniej wadze, a jedna łata problem o niskiej wadze.

Pierwsze dwie wady mają wpływ na Business One dla SAP HANA i mogą prowadzić do wstrzyknięcia kodu, umożliwiając atakującemu przejęcie pełnej kontroli nad aplikacją, podczas gdy trzecia dotyczy Business One na SQL Server i może prowadzić do ujawnienia danych płacowych.

Trzecia uwaga dotycząca zabezpieczeń o wysokim stopniu ważności dotyczy problemu wstrzykiwania kodu w programie NetWeaver AS ABAP, który może umożliwić osobie atakującej mającej dostęp do lokalnego systemu SAP odczyt i nadpisanie danych lub przeprowadzenie ataku typu „odmowa usługi” (DoS).

„Tylko potrzeba dostępu lokalnego, w połączeniu z faktem, że atakujący wymaga wysokich uprawnień do uruchomienia programu, zapobiega oznaczeniu tej luki wynikiem CVSS równym 10”, wyjaśniał Onapsis.

W ostatnim, lipcowym wydaniu SAP dalej boryka się z podatnościami dotyczącymi NetWeavera. Koncern opublikował 12 nowych informacji o zabezpieczeniach, a także aktualizacje trzech wcześniej opublikowanych uwag dotyczących bezpieczeństwa.

Najważniejsze z nowych uwag dotyczących bezpieczeństwa dotyczą dwóch luk o wysokim stopniu istotności w NetWeaver. Pierwszy to brak autoryzacji (CVE-2021-33671, wynik CVSS 7,6), a drugi to odmowa usługi (CVE-2021-33670, wynik CVSS 7,5).

Pierwsza luka dotyczy SAP NetWeaver Guided Procedures (SAP GP), komponentu Composite Application Framework (CAF), który zapewnia oparty na rolach dostęp do wielu systemów zaplecza. Brak autoryzacji został zidentyfikowany w centralnym narzędziu administracyjnym może prowadzić do nieuprawnionego dostępu do danych i manipulacji nimi.

Druga luka dotyczy SAP NetWeaver AS for Java (usługa HTTP) i istnieje, ponieważ żądania HTTP nie są prawidłowo sprawdzane podczas przechowywania danych monitorowania. W ten sposób osoba atakująca, która może manipulować żądaniami HTTP, może wyczerpać zasoby systemu, powodując stan odmowy usługi.

Trzecia zaktualizowana uwaga dotycząca zabezpieczeń dotyczy luki w zabezpieczeniach XML External Entity (XXE) o średnim poziomie ważności w SAP Process Integration (ESR Java Mappings).

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...