树液应用程序由熟练的攻击者受到损害

在云环境中进行了新配置的,未受保护的SAP应用程序在仅限时间内被发现和妥协, onpsis. 研究人员发现,影响它们的漏洞在SAP发布安全补丁后不到72小时。

树液应用程序妥协

互联网暴露的系统更有可能被利用和妥协,但是还有威胁要危及从内部损害SAP系统。然后,攻击者可以窃取或修改数据并扰乱关键业务操作。

树液应用程序对企业至关重要

树液应用程序 全球超过400,000个组织的权力关键业务–食品分销,医疗器械制造,制药,关键基础设施,政府和国防等方面的组织。

树液应用程序支持关键的运营/流程,如企业资源规划,供应链和产品生命周期管理,人力资本和客户关系管理等,以及敏感(客户,员工,供应商和公司)数据的宝库。

如果数据是通过未经授权的人进行访问或更改的,则公司不仅会导致丢失该数据,而且造成各种数据隐私,财务报告和行业特定监管的原因。

树液应用程序通过已知漏洞损害

自2020年代中期以来,Onapsis研究人员录制了数千次剥削事件,300个成功的漏洞利用在未受保护的SAP实例上尝试。有些攻击是自动的,有些涉及坐在键盘上的攻击者,但大多数旨在利用已知的问题和弱点。

这些包括六种漏洞(CVE-2020-6287,CVE-2020-6207,CVE-2018-2380,CVE-2016-9563,CVE-2016-3976,CVE-2010-5326)和安全弱点:攻击者使用的无担保配置设置尝试攻击密码在部署和配置期间通常安装在SAP环境上的高特权用户帐户(SAP,SAPCPIC,TMSADM,CTB_ADMIN)。

漏洞–有些人追溯到2011年,有些人发现只有最后的李尔–所有都被SAP修补,公司提供了有关如何更改高权限用户帐户的默认密码的指令,但根据onapsis,在那里’仍然是运行具有默认和/或密码弱密码的高权限用户的SAP应用程序的大量组织。

攻击者’策略,技术和程序

攻击者:

  • 通过扫描SAP特定端口和SAP漏洞来执行侦察(使用从公开可用信息派生的脚本和工具)
  • 通过在面向公开的应用程序上利用上述漏洞来实现初始访问
  • 通过掉落实现持久性 网贝壳
  • 串联几个上述漏洞,以升级其在底层操作系统上的特权
  • 使用漏洞用于在应用程序级别创建高权限帐户或野蛮迫使用于发现允许高权限访问权限的凭据
  • 探索访问的应用程序

一旦他们成功地损害了SAP应用程序,威胁演员也已经发现了申请记录的缓解,以防止其他攻击者进一步利用相同的漏洞。

攻击者使用一些漏洞,以横向移动并妥协额外的系统到最初被剥削的系统。但是,正如研究人员所指出的那样,“通过远程访问SAP系统和关键任务应用程序,几乎消除了对横向移动的需求,使攻击者能够更快地攻击和剥离业务关键数据。”

快速妥协

攻击者迅速探讨并尝试损害新配置的基于云的SAP应用程序:它有时需要三个小时,但平均,在一周内。

它们也很快创建和使用功能漏洞用于新修补的漏洞,自从释放补丁发布以来的时间不到72小时。

但是,虽然大多数观察到的威胁活动与SAP补丁释放的公开漏洞利用的使用有关,但Onapsis研究人员表示,一些威胁演员正在使用公共领域不可用的自定义/私有漏洞。

该公司表示,他们的分析证明了快速应用相关的SAP安全补丁和安全配置(如果这些)可以提供安全配置的重要性’T及时应用),检查SAP应用程序是否有错误配置和未经授权的高权限用户,并实现特定的任务关键应用程序保护程序。

那些知道他们在应用补丁中被抛出的组织应该使用可用的IOC和 工具 检查妥协。

“如果攻击者能够通过利用易受侦听的互联网应用程序或从不安全系统上的组织内部执行攻击来获取未受保护的SAP系统,但业务影响可能是至关重要的,” they added.

“在许多方案中,攻击者将能够访问具有最大权限的易受攻击的SAP系统,绕过所有访问和授权控件。这意味着攻击者可以完全控制受影响的SAP系统,其基础业务数据和流程。”

分享这个