Vulnerabilidades críticas de SAP están siendo explotadas activamente en ataques en curso a nivel mundial
Tabla de contenidos:
El 6 de abril de 2021, US-CERT emitió una alerta urgente advirtiendo sobre una campaña maliciosa en curso que aprovecha vulnerabilidades antiguas en aplicaciones SAP críticas para atacar organizaciones en todo el mundo. Según expertos en seguridad, los actores de amenazas aplican una variedad de técnicas, tácticas y procedimientos para atacar instancias inseguras. El ataque exitoso podría resultar en la total compromisión del sistema, extracción de datos corporativos sensibles y la interrupción de procesos empresariales cruciales.
Viejas Vulnerabilidades de SAP Bajo Ataque
Según el informe conjunto por SAP y Onapsis Research Labs, los actores de amenazas realizan ataques de fuerza bruta en cuentas de usuario SAP de alto privilegio y aprovechan una variedad de fallos conocidos (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207, CVE-2016-9563, CVE-2020-5326, CVE-2016-3976) para comprometer inicialmente, escalar privilegios, ejecutar comandos y movimiento lateral a través de los sistemas comprometidos. Tres de estos fallos (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207) poseen una puntuación CVSSv3 de 10.0, siendo una amenaza altamente crítica para los sistemas SAP y aplicaciones empresariales. El resto de los fallos son problemas de alta y media severidad que también están sirviendo bien para lograr los objetivos maliciosos de la campaña.
Para expandir las capacidades maliciosas e incrementar la escala de compromiso, los adversarios encadenan las vulnerabilidades durante los ataques contra sistemas SAP vulnerables. El informe de Onapsis destaca una de estas intrusiones, durante la cual los hackers explotaron CVE-2020-6287 para crear un usuario administrador e iniciar sesión en el sistema objetivo con los privilegios más altos. Luego, los actores maliciosos aprovecharon CVE-2018-2380 para subir una shell y usaron CVE-2016-3976 para acceder a credenciales de inicio de sesión para cuentas de alto privilegio y bases de datos centrales. Cabe destacar que toda la operación maliciosa tomó menos de 90 minutos.
Actores de Amenazas
Los expertos de Onapsis creen que la actividad maliciosa relacionada con el ataque a SAP se origina en una infraestructura extendida gestionada por grupos de amenazas coordinados. Los adversarios confían en el mismo enfoque mientras realizan intrusiones en el sistema operativo, ataques basados en red y compromiso clave de aplicaciones empresariales. Cabe destacar que la actividad maliciosa está registrada en múltiples países alrededor del mundo, incluyendo Hong Kong, Japón, India, EE. UU., Suecia, Taiwán, Yemen y Vietnam.
Las acciones coordinadas están dirigidas principalmente al reconocimiento, acceso inicial, persistencia, escalada de privilegios, evasión, y mando y control de los sistemas SAP, incluyendo aplicaciones financieras, de gestión de capital humano y de cadena de suministro.
Los atacantes están continuamente yendo tras nuevas vulnerabilidades en aplicaciones SAP, siendo extremadamente rápidos en armarlas. El informe de Onapsis afirma que los hackers tardan de 3 a 72 horas después del lanzamiento del parche en producir exploits funcionales. En vista de que muchas empresas no logran asegurar sus instalaciones a tiempo, una amenaza para las aplicaciones SAP críticas es persistente y continua.
Objetivos
Más de 400,000 empresas en todo el mundo usan aplicaciones SAP para gestionar sus procesos empresariales cruciales. La lista incluye organizaciones líderes en farmacéutica, servicios públicos, infraestructura crítica, defensa, gubernamentales y otras de alto perfil. Se estima que el 92% de la lista Global 2000 de Forbes confía en los sistemas SAP para impulsar sus operaciones diarias. Además, los expertos señalan que más del 77% de los ingresos transaccionales del mundo involucran productos SAP. Por lo tanto, el ataque en curso a SAP plantea un gran riesgo para la economía global.
Aunque SAP no ha revelado ninguna brecha directa relacionada con clientes vinculada a esta campaña maliciosa, los practicantes de seguridad de Onapsis registraron aproximadamente 1,500 ataques contra aplicaciones SAP durante junio de 2020 – marzo de 2021. Al menos 300 de ellos fueron exitosos y alcanzaron el objetivo malicioso.
Detección de Vulnerabilidades de SAP
Para detectar la explotación de vulnerabilidades de SAP y asegurar los entornos organizacionales, se insta a los usuarios a realizar una evaluación de compromiso de sus aplicaciones SAP y verificar si todas las instancias están completamente parcheadas contra los fallos existentes. Todas las vulnerabilidades en observación son bastante antiguas, con un conjunto completo de parches y mitigaciones ya disponibles. Además, se pide a los clientes de SAP asegurar sus cuentas expuestas a Internet con credenciales fuertes y minimizar el número de sistemas expuestos a la web pública.
Para mejorar la defensa proactiva contra posibles ataques, puedes descargar un conjunto de reglas Sigma lanzadas por el Equipo de Contenidos de SOC Prime y nuestros desarrolladores de Bounty de Amenazas.
Posible Comportamiento de Explotación del SAP Solution Manager [CVE-2020-6207] (a través de cmdline)
CVE-2020-6287 SAP NetWeaver – Omisión de Autenticación a través del Asistente de Configuración de LM
Detección de SAP NetWeaver Application Server (AS) Java CVE-2020-6287
También puedes consultar la lista completa de detecciones relacionadas con el ataque en curso a SAP directamente desde el Mercado de Detección de Amenazas. Mantente atento a nuestro blog para no perderte reglas nuevas sobre estas desagradables vulnerabilidades.
Obtén una suscripción gratuita al Mercado de Detección de Amenazas tpara reducir el tiempo promedio de detección de ciberataques con nuestra biblioteca de contenido SOC de más de 100K+. La base de contenido se enriquece cada día para identificar las amenazas cibernéticas más alarmantes en las primeras etapas del ciclo de vida del ataque. ¿Tienes el deseo de crear tu propio contenido curado? Únete a nuestro Programa de Recompensas de Amenazas para un futuro más seguro.
