小心关键任务SAP应用程序正受到主动攻击

最新研究显示，网络攻击者正积极瞄准不安全的SAP应用程序，试图窃取信息并破坏关键流程。

网络安全公司表示：“在许多情况下，观察到的攻击可能会导致完全控制不安全的SAP应用程序，绕过常见的安全和合规控制，使攻击者能够通过部署勒索软件或停止操作窃取敏感信息、执行财务欺诈或中断关键业务流程。”Onapsis和SAP在今天发布的一份联合报告中说。

这家总部位于波士顿的公司表示，在2020年至2021年3月间，针对SAP系统所特有的漏洞和不安全配置，共进行了1500次尝试，共检测到超过300次成功开发。对手针对高权限SAP帐户进行了多次暴力尝试，并将几个漏洞链接在一起以攻击SAP应用程序。

目标应用包括但不限于企业资源规划（ERP）、供应链管理（SCM）、人力资本管理（HCM）、产品生命周期管理（PLM）、客户关系管理（CRM）等。

令人不安的是，Onapsis报告概述了在补丁发布后不到72小时内将SAP漏洞武器化的情况，在不到3小时的时间内发现并破坏了云环境中配置的新的未受保护的SAP应用程序。

在一个案例中，在SAP于2020年7月14日发布CVE-2020-6287（详见下文）补丁的第二天，一个概念验证漏洞在野外出现，随后在7月16日进行了大规模扫描活动，并于2020年7月17日发布了一个全功能公共漏洞。

攻击载体也同样复杂。研究发现，这些对手采用了一系列不同的技术、工具和程序来获得初始访问权、提升权限、丢弃web shell以执行任意命令、创建具有高权限的SAP管理员用户，甚至提取数据库凭据。攻击本身是在TOR节点和分布式虚拟专用服务器（VPN）的帮助下发起的。

The six flaws exploited by threat actors include —

• （CVSS分数：10）-SAP NetWeaver应用服务器（AS）Java中的远程代码执行缺陷
• CVE-2016-3976（CVSS分数：7.5）-SAP NetWeaver AS Java中的目录遍历漏洞
• CVE-2016-9563（CVSS得分：6.4）-SAP NetWeaver AS Java的BC-BMT-BPM-DSK组件中存在XML外部实体（XXE）扩展漏洞
• CVE-2018-2380（CVSS得分：6.6）-SAP CRM中Internet Sales组件中的目录遍历漏洞
• CVE-2020-6207（CVSS分数：9.8）-SAP Solution Manager中缺少身份验证检查
• （CVSS分数：10）-LM配置向导组件中存在RECON（也称为NetWeaver上可远程利用的代码）缺陷

CVE-2020-6287于2020年7月首次公开，成功利用CVE-2020-6287可让未经验证的攻击者完全访问受影响的SAP系统，计算“修改财务记录、从员工、客户和供应商处窃取个人身份信息（PII）、破坏数据、删除或修改日志和跟踪以及其他危及基本业务运营、网络安全和法规遵从性的行为的能力”

OnAPSIS还表示，它能够检测到CVE-2020—6207的扫描活动，可以追溯到2020年10月19日，这是在2021年1月14日公开发布全面工作漏洞的近三个月之前，这意味着威胁者在公开披露之前就知道了漏洞的利用。

此外，12月9日观察到的另一次攻击被发现对其中三个漏洞进行了连锁利用，即CVE-2020-6287用于创建管理员用户并登录SAP系统，CVE-2018-2380用于权限升级，CVE-2016-3976用于访问高权限帐户和数据库。

“这一切都发生在90分钟之内，”Onapsis研究人员指出。

虽然尚未发现任何客户违规行为，但SAP和Onapsis都敦促企业对应用程序进行折衷评估，应用相关补丁，并解决错误配置，以防止未经授权的访问。

“关键发现[……]Onapsis首席执行官Mariano Nunez说：“请用几个月甚至几年的补丁和安全配置指南来描述针对漏洞的攻击。”不幸的是，在网络安全和关键任务应用程序的合规性方面，太多的组织仍然存在重大的治理缺口，允许外部和内部威胁参与者访问、过滤并获得对其最敏感和受监管的信息和流程的完全控制。"

美国网络安全和基础设施安全局（CISA）也发布了一份警告，警告SAP威胁环境中正在进行的恶意网络活动，称“运行过时或错误配置软件的系统面临更大的恶意攻击风险。”