Des vulnérabilités critiques dans SAP sont activement exploitées lors d’attaques en cours dans le monde entier
Table des matières :
Le 6 avril 2021, US-CERT a émis une alerte urgente avertissant d’une campagne malveillante en cours qui exploite d’anciennes vulnérabilités dans des applications SAP critiques pour cibler les organisations du monde entier. Selon les experts en sécurité, les acteurs de la menace appliquent une variété de techniques, tactiques et procédures pour cibler les instances non sécurisées. L’attaque réussie pourrait entraîner une compromission complète du système, un dumping de données d’entreprise sensibles et une perturbation des processus d’affaires cruciaux.
Anciennes vulnérabilités SAP sous attaque
Selon le rapport conjoint par SAP et Onapsis Research Labs, les acteurs de la menace effectuent des attaques par force brute sur des comptes utilisateurs SAP avec des privilèges élevés et exploitent une variété de failles connues (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207, CVE-2016-9563, CVE-2020-5326, CVE-2016-3976) pour obtenir une compromission initiale, une élévation de privilèges, une exécution de commandes et un mouvement latéral à travers les systèmes compromis. Trois de ces failles (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207) ont un score CVSSv3 de 10,0, ce qui représente une menace hautement critique pour les systèmes SAP et les applications commerciales. Les autres failles sont des problèmes de haute et moyenne gravité qui servent également bien pour atteindre les objectifs malveillants de la campagne.
Pour étendre les capacités malveillantes et augmenter l’échelle de la compromission, les adversaires enchaînent les vulnérabilités lors des attaques contre les systèmes SAP vulnérables. Le rapport d’Onapsis met en évidence une de ces intrusions, au cours de laquelle des pirates ont exploité CVE-2020-6287 pour créer un utilisateur administrateur et se connecter au système ciblé avec les privilèges les plus élevés. Ensuite, les acteurs malveillants ont exploité CVE-2018-2380 pour un chargement de shell et utilisé CVE-2016-3976 pour accéder aux identifiants de connexion des comptes à privilège élevé et des bases de données centrales. Notamment, l’opération malveillante entière a pris moins de 90 minutes.
Acteurs de la menace
Les experts d’Onapsis estiment que l’activité malveillante liée à l’attaque SAP provient d’une infrastructure répandue gérée par des groupes de menaces coordonnés. Les adversaires s’appuient sur la même approche lors de l’exécution d’intrusions sur les systèmes d’exploitation, d’attaques basées sur le réseau et de compromission des principales applications commerciales. Notamment, l’activité malveillante est enregistrée dans plusieurs pays du monde, y compris Hong Kong, le Japon, l’Inde, les États-Unis, la Suède, Taïwan, le Yémen et le Vietnam.
Les actions coordonnées visent principalement la reconnaissance, l’accès initial, la persistance, l’élévation de privilèges, l’évasion et le commandement et contrôle des systèmes SAP, y compris les applications liées aux finances, à la gestion du capital humain et à la chaîne d’approvisionnement.
Les attaquants poursuivent continuellement de nouvelles vulnérabilités dans les applications SAP, étant extrêmement rapides à les armer. Le rapport Onapsis indique qu’il faut de 3 à 72 heures aux pirates après la publication du patch pour produire des exploits fonctionnels. En voyant que de nombreuses entreprises ne parviennent pas à sécuriser leurs installations en temps opportun, une menace pour les applications SAP critiques est persistante et continue.
Cibles
Plus de 400 000 entreprises dans le monde entier utilisent les applications SAP pour gérer leurs processus commerciaux cruciaux. La liste comprend les principales organisations pharmaceutiques, de services publics, d’infrastructures critiques, de défense, gouvernementales et autres de haut profil. On estime que 92 % de la liste Forbes Global 2000 reposent sur les systèmes SAP pour stimuler leurs opérations quotidiennes. De plus, les experts notent que plus de 77 % des revenus transactionnels mondiaux touchent les produits SAP. Par conséquent, l’attaque SAP en cours représente un grand risque pour l’économie mondiale.
Bien que SAP n’ait divulgué aucune brèche de client directement liée à cette campagne malveillante, les praticiens de la sécurité d’Onapsis ont enregistré environ 1 500 attaques contre des applications SAP entre juin 2020 et mars 2021. Au moins 300 d’entre elles ont réussi et ont atteint l’objectif malveillant.
Détection des vulnérabilités SAP
Pour détecter l’exploitation des vulnérabilités SAP et sécuriser les environnements organisationnels, il est conseillé aux utilisateurs de réaliser une évaluation de compromission de leurs applications SAP et de vérifier si toutes les instances sont entièrement corrigées contre les failles existantes. Toutes les vulnérabilités en question sont plutôt anciennes, avec un ensemble complet de correctifs et de mesures d’atténuation déjà disponibles. De plus, les clients SAP sont invités à sécuriser leurs comptes à interface Internet avec des identifiants solides et à minimiser le nombre de systèmes exposés au web public.
Pour renforcer la défense proactive contre les attaques possibles, vous pouvez télécharger un ensemble de règles Sigma publié par l’équipe SOC Prime Content et nos développeurs de Threat Bounty.
Comportement possible d’exploitation du SAP Solution Manager [CVE-2020-6207] (via cmdline)
CVE-2020-6287 SAP NetWeaver – Contournement d’authentification via l’assistant de configuration LM
Détection SAP NetWeaver Application Server (AS) Java CVE-2020-6287
Vous pouvez également consulter la liste complète des détections liées à l’attaque SAP en cours directement depuis le Threat Detection Marketplace. Restez à l’écoute de notre blog pour ne pas manquer les règles récentes sur ces vilaines vulnérabilités.
Obtenez un abonnement gratuit au Threat Detection Marketplace tpour réduire le délai de détection des cyber-attaques avec notre bibliothèque de contenu SOC de plus de 100K. La base de contenus s’enrichit chaque jour pour identifier les menaces cyber les plus alarmantes aux premiers stades du cycle de vie de l’attaque. Avez-vous envie de créer votre propre contenu organisé ? Rejoignez notre Threat Bounty communauté pour un avenir plus sûr!
