Поделиться
Россияне нашли в SAP «дыру», через которую можно требовать выкуп с миллионов пользователей
Компания ERPScan обнаружила в клиенте SAP GUI уязвимость, которая позволяет запустить программу-вымогателя на каждом компьютере, где присутствуют решения SAP. На разработку патча для уязвимости у SAP ушло три месяца.
Уязвимость SAP GUI
В продукции компании SAP для управления ресурсами предприятия (ERP) обнаружена уязвимость, из-за которой любой конечный пользователь этого ПО может стать жертвой вымогательства. Изъян кроется в клиенте графического интерфейса пользователя SAP GUI. Через этот клиент осуществляется доступ к серверу SAP, с ним работают SAP ERP, SAP Business Suite, SAP Business Intelligence и остальные продукты. То есть, клиент установлен на компьютере каждого конечного пользователя. Таким образом, количество потенциальных жертв исчисляется миллионами.
Уязвимость обнаружил Ваагн Варданян, старший исследователь безопасности компании ERPScan. ERPScan принадлежит Илье Медведовскому, главе ИБ-компании Digital Security, и специализируется на поиске уязвимостей в ERP-системах.
ERPScan считает найденную уязвимость самой опасной во всей продукции SAP с 2011 г. По шкале Общей системы оценки уязвимостей (CVSS) она была оценена в 8 баллов из 10 и получила название CVE-2017-6950. Согласно последнему отчету исследовательской компании Crowd Research Partners, стоимость кибератаки на SAP варьируется от $1 млн до $50 млн.
Информация о находке была передана в SAP 15 декабря 2016 г. На прошлой неделе в рамках ежемесячного критического обновления безопасности SAP Security Patch Day был выпущен патч. На закрытие уязвимости SAP потребовалось три месяца. По оценке ERPScan, это средний срок для выпуска патча. Пока не было патча, ERPScan не разглашала информацию об уязвимости, поэтому сегодня впервые представила ее на конференции по кибербезопасности Troopers в Гейдельберге, Германия.
Технические особенности
С помощью уязвимости преступник может заставить все компьютеры, на которых есть клиент SAP GUI, автоматически установить вредоносную программу. Программа загружается на компьютер, когда пользователь входит в систему SAP. При следующей попытке войти в SAP GUI, вредоносное ПО активируется и не дает пользователю подключиться к серверу SAP, требуя выкуп.
По словам Варданяна, ситуация усугубляется двумя факторами. Во-первых, процесс установки патча очень трудоемкий, поскольку уязвимость кроется в клиенте. Администратору SAP придется отдельно пропатчить каждый компьютер, где есть SAP GUI. В обычной компании может быть несколько тысяч таких компьютеров. Во-вторых, каждый клиент может иметь свой собственный уникальный платежный адрес, что затруднит процесс оплаты, если организация захочет решить проблему с помощью выкупа.
ERPScan сообщает, что для эксплуатации уязвимости достаточно рабочих технических знаний продуктов SAP. Хакер атакует сервер SAP NetWeaver ABAP, используя одну из более чем 3,8 тыс. уязвимостей, обнаруженных в системах SAP. Учитывая, что некоторые из этих уязвимостей годами остаются незакрытыми, это не так трудно сделать, уверены в ERPScan.
Затем злоумышленник составляет простой скрипт, который выполняет команду в SAP GUI, и помещает его в автозагрузку, чтобы он выполнялся автоматически. Каждый раз, когда какой-нибудь конечный пользователь входит в систему сервера через SAP GUI, скрипт срабатывает и загружает на компьютер пользователя программу-вымогателя. Программа активируется при следующем входе в систему через SAP GUI.
Уязвимости в продукции SAP
В августе 2016 г. ERPScan опубликовала исследование SAP Security in figures, которое содержит анализ всех вышедших к тому времени патчей SAP. На тот момент патчей было около 3,6 тыс., сейчас их количество превышает 3,8 тыс. Самих уязвимостей значительно больше, так как один патч может решать несколько проблем безопасности, сообщает ERPScan.
По наблюдениям компании, самыми распространенными типами уязвимостей являются XSS, отсутствие проверки авторизации и уязвимость обхода каталога. Компании, использующие продукты SAP, зачастую не устанавливают патчи или устанавливают их с опозданием, потому что это часто требует простоя системы.
Кроме того, SAP производит сложные, многокомпонентные системы. Часть компонентов включена по умолчанию, поэтому клиенты могут просто не знать, что у них установлен тот или иной модуль. Например, в 2016 г. стало известно, что более 30 компаний были атакованы через уязвимый SAP Invoker Servlet, патч для которого вышел в 2010 г. ERPScan провела собственное исследование, в ходе которого выяснилось, что в интернете имеется более 500 подобных уязвимых сервлетов.
В некоторых случаях сама SAP затягивает выпуск патчей. Рекордный срок составил 3 года – именно столько потребовалось компании, чтобы закрыть уязвимость раскрытия информации в SAP BI Reporting and Planning. Обычно промедление связано с тем, что уязвимость сложно закрыть – например, если проблема затрагивает саму архитектуру приложения, поясняют в ERPScan.
Поделиться
Короткая ссылка
