全球超过400,000家公司和福布斯全球2000强公司中的92%使用SAP的企业应用程序进行供应链管理(SCM)、企业资源规划(ERP)、产品生命周期管理(PLM)和客户关系管理(CRM)。目前,SAP和云安全公司Onapsis已就此发出警告,并已与网络安全和基础设施安全局(CISA)、德国网络安全机构BSI发起合作,敦促SAP客户及时部署补丁并检查他们的环境中是否存在不安全的应用程序。针对SAP的漏洞Onapsis与SAP的威胁情报合作显示,目前尚未发现任何客户受到该恶意活动的攻击并造成损失。然而,该报告称,SAP客户的环境中仍然存在不安全的应用程序,并使组织暴露于通过本应在多年前修补的攻击媒介进行的渗透尝试。自Onapsis在2020年年中开始记录针对未打补丁的SAP应用程序的攻击尝试以来,该公司的研究人员发现“2020年6月至2021年3月期间,来自近20个国家/地区的黑客发起了1,500次攻击”。攻击尝试,成功利用300次”。这些攻击背后的黑客利用了SAP应用程序中的多个安全漏洞和不安全的配置,试图侵入目标系统。此外,其中一些黑客同时利用了多个漏洞,在一次攻击中对易受攻击的SAP应用程序(SAP/Onapsis)的攻击通过部署勒索软件或关闭企业系统操作来窃取敏感数据、进行金融欺诈或破坏关键业务流程。威胁报告中公布的漏洞和攻击方法如下:针对不安全的高权限SAP用户的暴力攻击CVE-2020-6287(又名RECON):可远程利用的预身份验证可能使未经身份验证的攻击者接管易受攻击的SAP系统的信息漏洞。CVE-2020-6207:一个严重的预身份验证漏洞,可能允许攻击者接管未修补的SAP系统。(该漏洞利用于2021年1月在Github上发布)。CVE-2018-2380:使黑客能够提升权限并执行操作系统命令以获取对数据库的访问权限并跨网络横向移动。CVE-2016-95:攻击者可以利用此漏洞触发拒绝服务(DoS)条件并获得对敏感信息的未授权访问。CVE-2016-3976:远程攻击者可利用此漏洞提升权限并通过目录遍历序列读取任意文件,从而导致未经授权的信息泄露。CVE-2010-5326:允许未经授权的黑客执行操作系统命令并访问SAP应用程序和连接的数据库,从而获得对SAP业务信息和流程的完整且未经审计的控制。根据CISA发布的警报,受这些攻击影响的组织可能会产生以下影响:窃取敏感数据金融欺诈破坏关键业务流程勒索软件攻击停止所有运营及时保护易受攻击的SAP系统是企业的首要任务现在所有的企业组织。Onapsis还指出,攻击者在更新发布后的72小时内就开始瞄准关键的SAP漏洞。暴露的和未修补的SAP应用程序在不到3小时内遭到破坏。威胁缓解被利用的漏洞仅影响内部企业部署,包括在他们自己的数据中心、托管托管环境或客户维护的云基础设施中的部署。由SAP维护的云解决方案不受这些漏洞的影响。为降低风险,SAP客户可以采取以下措施:立即对暴露于上述漏洞的SAP应用和未及时打补丁的SAP应用进行入侵评估。优先考虑网络连接的SAP应用程序。立即评估SAP环境中所有应用程序的风险,并立即应用相关的SAP安全补丁和安全配置。立即评估SAP应用程序是否存在错误配置或未经授权的高特权用户,并对存在风险的应用程序执行入侵评估。如果评估的SAP应用程序当前暴露并且无法及时应用缓解措施,则应部署补偿控制并监视活动以检测任何潜在的威胁活动,直到实施缓解措施。来源:bleepingcomputer
