Толпы хакеров набросились на ПО SAP
Несколько кибергруппировок серийно атакуют приложения SAP, к уязвимостям для которых разработчик выпустил патчи несколько дней назад. Часть уязвимостей — критические.
Исправили себе на горе
Приложения SAP подвергаются интенсивным атакам по всему миру после того как компания выпустила ряд исправлений к критическим уязвимостям в своих разработках. Между выпуском патчей и появлением первых эксплойтов прошло не более 72 часов.
SAP и ИБ-компания Onapsis6 апреля 2021 г. выпустили совместный бюллетень, в котором указывается, что атаки на недавно исправленные уязвимости могут привести к полному захвату контроля над приложениями SAP, а также краже конфиденциальных данных, финансовому мошенничеству, нарушению критических бизнес-процессов и внедрению шифровальщиков и других вредоносных программ.
В настоящее время производятся брутфорс-атаки на аккаунты в SAP с высокими привилегиями. Кроме того, злоумышленники пытаются эксплуатировать уязвимости CVE-2020-6287, CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 и CVE-2010-5326.
CVE-2020-6287 представляет собой критическую ошибку, позволяющую обходить авторизацию в SAP Net Weaver Application Server Java, что может приводить к перехвату контроля над приложением.
CVE-2020-6207 также является критической ошибкой обхода авторизации, но на этот раз в SAP Solution Manager.
CVE-2018-2380 — уязвимость среднего уровня опасности в SAP CRM, которая позволяет злоумышленникам эксплуатировать недостатки в валидации пути пользовательского ввода.
CVE-2016-9563 — еще одна уязвимость среднего уровня опасности, на этот раз в SAP Net Weaver AS Java. Злоумышленники с ее помощью могут удаленно производить атаки класса XML External Entity (XXE), тем самым нарушая штатную процедуру обработки XML. Но это возможно только в случае предварительной авторизации в приложении.
CVE-2016-3976 — высокоопасная ошибка выхода за пределы каталога в SAP Net Weaver AS Java. С ее помощью злоумышленники могут считывать произвольные файлы.
CVE-2010-5326 — ошибка 11-летней давности в компоненте InvokerServlet в приложении SAP Net Weaver AS Java. Авторизация для ее эксплуатации не требуется, что открывает возможность для удаленной атаки или выполнения произвольного кода через запросы HTTP или HTTPS.
Любопытно, что с момента объявления о выходе патчей и до первых атак прошли всего три дня. За это время злоумышленники, по-видимому, успели проанализировать исправления и создать нужные эксплойты.
По данным Onapsis, сейчас сразу несколько кибергруппировок активно ищут и атакуют уязвимые приложения SAP. Атаки замечены из сетей в Гонконге, Индии, Японии, Нидерландах, Сингапуре, Южной Корее, Швеции, Тайвани, Великобритании, США, Вьетнама и Йемена. Часть таких группировок предположительно действует скоординированно.
Злоумышленники тоже ставят патчи
Эксперты Onapsis уже наблюдали, как злоумышленники, получившие доступ к приложениям SAP, использовали эти уязвимости для обеспечения себе постоянного присутствия в системе, повышения привилегий, обхода защиты и, наконец, установления полного контроля над системами SAP.
Наблюдались и попытки комбинировать разнообразные уязвимости для повышения привилегий в подлежащей операционной системе, что означает угрозу уже не только приложениям SAP.
Например, минимум один раз злоумышленники получили возможность создать администраторский аккаунт, используя эксплойт для уязвимости CVE-2020-6287. Создав профиль и залогинившись в нем, злоумышленники воспользовались дополнительными эксплойтами для CVE-2018-2380 для загрузки шеллов с целью получения доступа к подлежащей операционной системе. За этим производился запуск эксплойтов к CVE-2016-3976, с помощью которого злоумышленники получали доступ к привилегированным аккаунтам для корневой базы данных. Вся процедура производилась в течение полутора часов. В некоторых случаях, отмечают эксперты Onapsis, обосновавшись в атакуемой системе, атакующие сами устанавливали патчи на уже использованные ими уязвимости.
«Подобная практика — не такая уж редкость, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Тем самым злоумышленники отсекают конкурентов и снижают вероятность обнаружения. С установленными патчами системы выглядят защищенными и проверять их на компрометацию будут уже постфактум. Самое лучшее, что можно сделать сейчас, это срочно установить патчи на все уязвимые приложения SAP».
В мире насчитывается порядка 400 тыс. организаций, пользующихся решениями SAP для планирования корпоративных ресурсов, управления продуктовыми циклами, взаимодействием с клиентами и т. д. Среди этих организаций — объекты критической инфраструктуры, фармацевтические и оборонные компании, поставщики продуктов питания и многие др.