Спецпроекты

ПО Безопасность

Толпы хакеров набросились на ПО SAP

Несколько кибергруппировок серийно атакуют приложения SAP, к уязвимостям для которых разработчик выпустил патчи несколько дней назад. Часть уязвимостей — критические.

Исправили себе на горе

Приложения SAP подвергаются интенсивным атакам по всему миру после того как компания выпустила ряд исправлений к критическим уязвимостям в своих разработках. Между выпуском патчей и появлением первых эксплойтов прошло не более 72 часов.

SAP и ИБ-компания Onapsis6 апреля 2021 г. выпустили совместный бюллетень, в котором указывается, что атаки на недавно исправленные уязвимости могут привести к полному захвату контроля над приложениями SAP, а также краже конфиденциальных данных, финансовому мошенничеству, нарушению критических бизнес-процессов и внедрению шифровальщиков и других вредоносных программ.

В настоящее время производятся брутфорс-атаки на аккаунты в SAP с высокими привилегиями. Кроме того, злоумышленники пытаются эксплуатировать уязвимости CVE-2020-6287, CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 и CVE-2010-5326.

CVE-2020-6287 представляет собой критическую ошибку, позволяющую обходить авторизацию в SAP Net Weaver Application Server Java, что может приводить к перехвату контроля над приложением.

sap600.jpg
Приложения SAP подверглись серийной атаке после выхода патчей

CVE-2020-6207 также является критической ошибкой обхода авторизации, но на этот раз в SAP Solution Manager.

CVE-2018-2380 — уязвимость среднего уровня опасности в SAP CRM, которая позволяет злоумышленникам эксплуатировать недостатки в валидации пути пользовательского ввода.

CVE-2016-9563 — еще одна уязвимость среднего уровня опасности, на этот раз в SAP Net Weaver AS Java. Злоумышленники с ее помощью могут удаленно производить атаки класса XML External Entity (XXE), тем самым нарушая штатную процедуру обработки XML. Но это возможно только в случае предварительной авторизации в приложении.

CVE-2016-3976 — высокоопасная ошибка выхода за пределы каталога в SAP Net Weaver AS Java. С ее помощью злоумышленники могут считывать произвольные файлы.

CVE-2010-5326 — ошибка 11-летней давности в компоненте InvokerServlet в приложении SAP Net Weaver AS Java. Авторизация для ее эксплуатации не требуется, что открывает возможность для удаленной атаки или выполнения произвольного кода через запросы HTTP или HTTPS.

Любопытно, что с момента объявления о выходе патчей и до первых атак прошли всего три дня. За это время злоумышленники, по-видимому, успели проанализировать исправления и создать нужные эксплойты.

По данным Onapsis, сейчас сразу несколько кибергруппировок активно ищут и атакуют уязвимые приложения SAP. Атаки замечены из сетей в Гонконге, Индии, Японии, Нидерландах, Сингапуре, Южной Корее, Швеции, Тайвани, Великобритании, США, Вьетнама и Йемена. Часть таких группировок предположительно действует скоординированно.

Злоумышленники тоже ставят патчи

Эксперты Onapsis уже наблюдали, как злоумышленники, получившие доступ к приложениям SAP, использовали эти уязвимости для обеспечения себе постоянного присутствия в системе, повышения привилегий, обхода защиты и, наконец, установления полного контроля над системами SAP.

Наблюдались и попытки комбинировать разнообразные уязвимости для повышения привилегий в подлежащей операционной системе, что означает угрозу уже не только приложениям SAP.

Например, минимум один раз злоумышленники получили возможность создать администраторский аккаунт, используя эксплойт для уязвимости CVE-2020-6287. Создав профиль и залогинившись в нем, злоумышленники воспользовались дополнительными эксплойтами для CVE-2018-2380 для загрузки шеллов с целью получения доступа к подлежащей операционной системе. За этим производился запуск эксплойтов к CVE-2016-3976, с помощью которого злоумышленники получали доступ к привилегированным аккаунтам для корневой базы данных. Вся процедура производилась в течение полутора часов. В некоторых случаях, отмечают эксперты Onapsis, обосновавшись в атакуемой системе, атакующие сами устанавливали патчи на уже использованные ими уязвимости.

«Подобная практика — не такая уж редкость, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Тем самым злоумышленники отсекают конкурентов и снижают вероятность обнаружения. С установленными патчами системы выглядят защищенными и проверять их на компрометацию будут уже постфактум. Самое лучшее, что можно сделать сейчас, это срочно установить патчи на все уязвимые приложения SAP».

В мире насчитывается порядка 400 тыс. организаций, пользующихся решениями SAP для планирования корпоративных ресурсов, управления продуктовыми циклами, взаимодействием с клиентами и т. д. Среди этих организаций — объекты критической инфраструктуры, фармацевтические и оборонные компании, поставщики продуктов питания и многие др.

Роман Георгиев

Короткая ссылка