Спецпроекты

Толпы хакеров набросились на ПО SAP

ПО Безопасность

Несколько кибергруппировок серийно атакуют приложения SAP, к уязвимостям для которых разработчик выпустил патчи несколько дней назад. Часть уязвимостей — критические.

Исправили себе на горе

Приложения SAP подвергаются интенсивным атакам по всему миру после того как компания выпустила ряд исправлений к критическим уязвимостям в своих разработках. Между выпуском патчей и появлением первых эксплойтов прошло не более 72 часов.

SAP и ИБ-компания Onapsis6 апреля 2021 г. выпустили совместный бюллетень, в котором указывается, что атаки на недавно исправленные уязвимости могут привести к полному захвату контроля над приложениями SAP, а также краже конфиденциальных данных, финансовому мошенничеству, нарушению критических бизнес-процессов и внедрению шифровальщиков и других вредоносных программ.

В настоящее время производятся брутфорс-атаки на аккаунты в SAP с высокими привилегиями. Кроме того, злоумышленники пытаются эксплуатировать уязвимости CVE-2020-6287, CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 и CVE-2010-5326.

CVE-2020-6287 представляет собой критическую ошибку, позволяющую обходить авторизацию в SAP Net Weaver Application Server Java, что может приводить к перехвату контроля над приложением.

sap600.jpg
Приложения SAP подверглись серийной атаке после выхода патчей

CVE-2020-6207 также является критической ошибкой обхода авторизации, но на этот раз в SAP Solution Manager.

CVE-2018-2380 — уязвимость среднего уровня опасности в SAP CRM, которая позволяет злоумышленникам эксплуатировать недостатки в валидации пути пользовательского ввода.

CVE-2016-9563 — еще одна уязвимость среднего уровня опасности, на этот раз в SAP Net Weaver AS Java. Злоумышленники с ее помощью могут удаленно производить атаки класса XML External Entity (XXE), тем самым нарушая штатную процедуру обработки XML. Но это возможно только в случае предварительной авторизации в приложении.

CVE-2016-3976 — высокоопасная ошибка выхода за пределы каталога в SAP Net Weaver AS Java. С ее помощью злоумышленники могут считывать произвольные файлы.

CVE-2010-5326 — ошибка 11-летней давности в компоненте InvokerServlet в приложении SAP Net Weaver AS Java. Авторизация для ее эксплуатации не требуется, что открывает возможность для удаленной атаки или выполнения произвольного кода через запросы HTTP или HTTPS.

Российским стартапам выделят миллионы на цифровизацию Москвы
Инновации и стартапы

Любопытно, что с момента объявления о выходе патчей и до первых атак прошли всего три дня. За это время злоумышленники, по-видимому, успели проанализировать исправления и создать нужные эксплойты.

По данным Onapsis, сейчас сразу несколько кибергруппировок активно ищут и атакуют уязвимые приложения SAP. Атаки замечены из сетей в Гонконге, Индии, Японии, Нидерландах, Сингапуре, Южной Корее, Швеции, Тайвани, Великобритании, США, Вьетнама и Йемена. Часть таких группировок предположительно действует скоординированно.

Злоумышленники тоже ставят патчи

Эксперты Onapsis уже наблюдали, как злоумышленники, получившие доступ к приложениям SAP, использовали эти уязвимости для обеспечения себе постоянного присутствия в системе, повышения привилегий, обхода защиты и, наконец, установления полного контроля над системами SAP.

Наблюдались и попытки комбинировать разнообразные уязвимости для повышения привилегий в подлежащей операционной системе, что означает угрозу уже не только приложениям SAP.

Например, минимум один раз злоумышленники получили возможность создать администраторский аккаунт, используя эксплойт для уязвимости CVE-2020-6287. Создав профиль и залогинившись в нем, злоумышленники воспользовались дополнительными эксплойтами для CVE-2018-2380 для загрузки шеллов с целью получения доступа к подлежащей операционной системе. За этим производился запуск эксплойтов к CVE-2016-3976, с помощью которого злоумышленники получали доступ к привилегированным аккаунтам для корневой базы данных. Вся процедура производилась в течение полутора часов. В некоторых случаях, отмечают эксперты Onapsis, обосновавшись в атакуемой системе, атакующие сами устанавливали патчи на уже использованные ими уязвимости.

«Подобная практика — не такая уж редкость, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Тем самым злоумышленники отсекают конкурентов и снижают вероятность обнаружения. С установленными патчами системы выглядят защищенными и проверять их на компрометацию будут уже постфактум. Самое лучшее, что можно сделать сейчас, это срочно установить патчи на все уязвимые приложения SAP».

В мире насчитывается порядка 400 тыс. организаций, пользующихся решениями SAP для планирования корпоративных ресурсов, управления продуктовыми циклами, взаимодействием с клиентами и т. д. Среди этих организаций — объекты критической инфраструктуры, фармацевтические и оборонные компании, поставщики продуктов питания и многие др.