Kritische SAP-Schwachstellen werden weltweit in laufenden Angriffen aktiv ausgenutzt
Inhaltsverzeichnis:
Am 6. April 2021 gab US-CERT eine dringende Warnung aus über eine laufende bösartige Kampagne, die alte Schwachstellen in geschäftskritischen SAP-Anwendungen ausnutzt, um Organisationen weltweit anzugreifen. Laut Sicherheitsexperten nutzen Bedrohungsakteure eine Vielzahl von Techniken, Taktiken und Verfahren, um unsichere Instanzen anzugreifen. Ein erfolgreicher Angriff könnte zu einer vollständigen Systemkompromittierung, zum Abgreifen sensibler Firmendaten und zur Unterbrechung wichtiger Geschäftsprozesse führen.
Alte SAP-Schwachstellen im Visier
Laut dem gemeinsamen Bericht von SAP und Onapsis Research Labs führen Bedrohungsakteure Brute-Force-Angriffe gegen SAP-Benutzerkonten mit hohen Privilegien durch und nutzen eine Vielzahl bekannter Schwachstellen (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207, CVE-2016-9563, CVE-2020-5326, CVE-2016-3976) für die anfängliche Kompromittierung, Privilegieneskalation, Befehlsausführung und laterale Bewegung über die kompromittierten Systeme hinweg aus. Drei dieser Schwachstellen (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207) besitzen einen CVSSv3-Score von 10,0 und stellen eine sehr kritische Bedrohung für SAP-Systeme und Geschäftsanwendungen dar. Die übrigen Schwachstellen sind Probleme mit hoher und mittlerer Schwere, die ebenfalls dazu dienen, die bösartigen Ziele der Kampagne zu erreichen.
Um die bösartigen Fähigkeiten auszuweiten und das Ausmaß der Kompromittierung zu erhöhen, verketten die Gegner die Schwachstellen während der Angriffe auf anfällige SAP-Systeme. Der Onapsis-Bericht hebt einen dieser Eindrücke hervor, bei dem Hacker CVE-2020-6287 ausnutzten, um einen Admin-Benutzer zu erstellen und sich mit höchsten Privilegien im Zielsystem anzumelden. Anschließend nutzten bösartige Akteure CVE-2018-2380 für den Shell-Upload und CVE-2016-3976, um Anmeldeinformationen für hochprivilegierte Konten und Kerndatenbanken abzurufen. Bemerkenswerterweise dauerte die ganze bösartige Operation weniger als 90 Minuten.
Bedrohungsakteure
Onapsis-Experten glauben, dass die mit dem SAP-Angriff verbundene bösartige Aktivität von einer weit verbreiteten Infrastruktur ausgeht, die von koordinierten Bedrohungsgruppen verwaltet wird. Gegner verlassen sich auf den gleichen Ansatz, während sie OS-Eindringversuche, netzwerkbasierte Angriffe und Kompromittierungen von Schlüsselgeschäftsanwendungen durchführen. Bemerkenswert ist, dass die bösartige Aktivität in mehreren Ländern auf der ganzen Welt registriert wird, darunter Hongkong, Japan, Indien, die USA, Schweden, Taiwan, Jemen und Vietnam.
Die koordinierten Aktionen zielen hauptsächlich auf Aufklärung, initialen Zugriff, Persistenz, Privilegieneskalation, Umgehung sowie Kommando und Kontrolle von SAP-Systemen, einschließlich Finanz-, Personalmanagement- und Lieferkettenanwendungen, ab.
Die Angreifer gehen kontinuierlich auf neue Schwachstellen in SAP-Anwendungen los und sind extrem schnell darin, sie zu nutzen. Der Onapsis-Bericht besagt, dass es Hackern 3 bis 72 Stunden nach Freigabe des Patches dauert, bis funktionsfähige Exploits produziert werden. Angesichts dessen, dass viele Unternehmen es versäumen, ihre Installationen rechtzeitig zu sichern, bleibt eine Bedrohung für geschäftskritische SAP-Anwendungen bestehen.
Ziele
Über 400.000 Unternehmen weltweit nutzen SAP-Anwendungen, um ihre zentralen Geschäftsprozesse zu verwalten. Die Liste umfasst führende Pharma-, Versorgungs-, kritische Infrastrukturen, Verteidigungs-, Regierungs- und andere namhafte Organisationen. Schätzungsweise 92% der Forbes Global 2000 Liste verlassen sich auf SAP-Systeme, um ihre täglichen Operationen zu steigern. Ferner stellen Experten fest, dass über 77% der weltweiten transaktionalen Einnahmen SAP-Produkte betreffen. Daher stellt der laufende SAP-Angriff ein großes Risiko für die globale Wirtschaft dar.
Obwohl SAP keine direkten kundenbezogenen Verstöße im Zusammenhang mit dieser bösartigen Kampagne offengelegt hat, verzeichneten die Sicherheitsexperten von Onapsis während der Monate Juni 2020 bis März 2021 etwa 1.500 Angriffe auf SAP-Anwendungen. Mindestens 300 davon waren erfolgreich und erreichten das bösartige Ziel.
Erkennung von SAP-Schwachstellen
Um die Ausnutzung von SAP-Schwachstellen zu erkennen und organisatorische Umgebungen zu sichern, sollten Benutzer eine Kompromittierungsbewertung ihrer SAP-Anwendungen durchführen und überprüfen, ob alle Instanzen vollständig gegen die bestehenden Schwachstellen gepatcht sind. Alle angegriffenen Schwachstellen sind relativ alt, wobei ein vollständiges Set von Patches und Milderungen bereits verfügbar ist. Zudem werden SAP-Kunden aufgefordert, ihre netzwerkfreiliegenden Konten mit starken Anmeldeinformationen zu sichern und die Anzahl der Systeme, die dem öffentlichen Internet zugewandt sind, zu minimieren.
Um den proaktiven Schutz vor möglichen Angriffen zu verbessern, können Sie ein Set von Sigma-Regeln herunterladen, das vom SOC Prime Content Team und unseren engagierten Threat-Bounty-Entwicklern veröffentlicht wurde.
Mögliches Exploit-Verhalten des SAP Solution Managers [CVE-2020-6207] (über cmdline)
CVE-2020-6287 SAP NetWeaver – Authentifizierungs-Bypass über LM Configuration Wizard
Erkennung des SAP NetWeaver Application Servers (AS) Java CVE-2020-6287
Sie können auch überprüfen die vollständige Liste der Erkennungen im Zusammenhang mit dem laufenden SAP-Angriff direkt vom Threat Detection Marketplace. Bleiben Sie auf unserem Blog am Ball, um keine neuen Regeln zu diesen unangenehmen Schwachstellen zu verpassen.
Erhalten Sie ein kostenloses Abonnement für den Threat Detection Marketplace tzur Reduzierung der mittleren Zeit zur Erkennung von Cyberangriffen mit unserer 100.000+ SOC-Inhaltsbibliothek. Die Inhaltsbasis wird täglich erweitert, um die alarmierendsten Cyberbedrohungen frühzeitig zu identifizieren. Haben Sie den Wunsch, Ihre eigenen kuratierten Inhalte zu erstellen? Treten Sie unserer Threat Bounty Community für eine sicherere Zukunft bei!
