Vulnerabilità critiche SAP sono attivamente sfruttate in attacchi in corso a livello mondiale
Indice:
Il 6 aprile 2021, US-CERT ha emesso un avviso urgente avvertendo di una campagna malevola in corso che sfrutta vecchie vulnerabilità in applicazioni SAP critiche per le missioni per colpire organizzazioni in tutto il mondo. Secondo gli esperti di sicurezza, gli attori della minaccia applicano una varietà di tecniche, tattiche e procedure per mirare a istanze insicure. L’attacco riuscito potrebbe causare il totale compromesso del sistema, il dump di dati aziendali sensibili e l’interruzione di processi aziendali cruciali.
Vecchie vulnerabilità SAP sotto attacco
Secondo il rapporto congiunto di SAP e Onapsis Research Labs, gli attori della minaccia effettuano brute-forcing di account utente SAP ad alta privilegi e sfruttano una varietà di flaw note (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207, CVE-2016-9563, CVE-2020-5326, CVE-2016-3976) per il compromesso iniziale, l’escalation di privilegi, l’esecuzione di comandi e il movimento laterale attraverso i sistemi compromessi. Tre di questi flaw (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207) hanno un punteggio CVSSv3 di 10,0, essendo una minaccia altamente critica per i sistemi SAP e le applicazioni aziendali. Il resto dei flaw è rappresentato da problemi ad alta e media gravità che servono bene anche al raggiungimento degli obiettivi malevoli della campagna.
Per espandere le capacità malevole e aumentare la scala del compromesso, gli avversari concatenano le vulnerabilità durante gli attacchi contro i sistemi SAP vulnerabili. Il rapporto Onapsis evidenzia una di queste intrusioni, durante la quale gli hacker hanno sfruttato la CVE-2020-6287 per creare un utente admin e accedere al sistema mirato con i massimi privilegi. Poi, gli attori malevoli hanno sfruttato la CVE-2018-2380 per il caricamento della shell e hanno utilizzato la CVE-2016-3976 per accedere alle credenziali di accesso per account ad alta privilegio e database core. Notizialmente, l’intera operazione malevola ha richiesto meno di 90 minuti.
Attori delle Minacce
Gli esperti di Onapsis credono che l’attività malevola relativa all’attacco SAP abbia origine da un’infrastruttura estesa gestita da gruppi di minaccia coordinati. Gli avversari si affidano allo stesso approccio durante le intrusioni sui sistemi operativi, gli attacchi in rete e il compromesso di applicazioni aziendali chiave. Notabilmente, l’attività malevola è registrata in più paesi in tutto il mondo, tra cui Hong Kong, Giappone, India, gli Stati Uniti, Svezia, Taiwan, Yemen e Vietnam.
Le azioni coordinate sono principalmente mirate alla ricognizione, all’accesso iniziale, alla persistenza, all’escalamento di privilegi, all’evasione e al comando e controllo di sistemi SAP, incluse applicazioni finanziarie, di gestione del capitale umano e catena di approvvigionamento.
Gli attaccanti stanno continuamente cercando nuove vulnerabilità nelle applicazioni SAP, essendo estremamente veloci nel trasformarle in armi. Il rapporto Onapsis afferma che gli hacker impiegano da 3 a 72 ore dopo il rilascio della patch per produrre exploit funzionanti. Considerando che molte aziende non riescono a mettere in sicurezza le loro installazioni in tempo, una minaccia per le app SAP critiche per le missioni è persistente e in corso.
Obiettivi
Oltre 400.000 imprese in tutto il mondo utilizzano applicazioni SAP per gestire i loro processi aziendali cruciali. L’elenco include aziende farmaceutiche leader, utility, infrastrutture critiche, difesa, governative e altre organizzazioni di alto profilo. Si stima che il 92% dell’elenco Forbes Global 2000 dipenda dai sistemi SAP per rafforzare le loro operazioni quotidiane. Inoltre, gli esperti notano che oltre il 77% delle entrate transazionali mondiali tocca i prodotti SAP. Pertanto, l’attacco SAP in corso rappresenta un grande rischio per l’economia globale.
Sebbene SAP non abbia divulgato alcuna violazione diretta dei clienti legata a questa campagna malevola, i praticanti della sicurezza di Onapsis hanno registrato circa 1.500 attacchi contro applicazioni SAP tra giugno 2020 – marzo 2021. Almeno 300 di essi sono stati riusciti e hanno raggiunto l’obiettivo malevolo.
Rilevazione di Vulnerabilità SAP
Per rilevare lo sfruttamento delle vulnerabilità SAP e garantire ambienti organizzativi sicuri, gli utenti sono invitati a eseguire una valutazione del compromesso delle loro applicazioni SAP e verificare che tutte le istanze siano completamente patchate contro i difetti esistenti. Tutte le vulnerabilità sotto il fuoco sono piuttosto vecchie, con un set completo di patch e mitigazioni già disponibile. Inoltre, i clienti SAP sono invitati a garantire i loro account esposti a Internet con credenziali forti e a ridurre al minimo il numero di sistemi esposti al web pubblico.
Per rafforzare la difesa proattiva dalle possibili attività malevole, puoi scaricare un set di regole Sigma rilasciate dal team di contenuti SOC Prime e dai nostri esperti sviluppatori di Threat Bounty.
Comportamento possibili di sfruttamento di SAP Solution Manager [CVE-2020-6207] (tramite cmdline)
CVE-2020-6287 SAP NetWeaver – Autenticazione bypass tramite LM Configuration Wizard
Rilevazione di SAP NetWeaver Application Server (AS) Java CVE-2020-6287
Inoltre, puoi controllare l’elenco completo delle rilevazioni relative all’attacco in corso su SAP direttamente da Threat Detection Marketplace. Resta sintonizzato sul nostro blog per non perdere le nuove regole su queste brutte vulnerabilità.
Ottieni un abbonamento gratuito a Threat Detection Marketplace tper ridurre il tempo medio di rilevazione degli attacchi informatici con la nostra libreria di contenuti SOC da oltre 100K. La base di contenuti si arricchisce ogni giorno per identificare le minacce informatiche più allarmanti nelle prime fasi del ciclo di attacco. Hai il desiderio di creare il tuo contenuto curato? Unisciti al nostro programma Threat Bounty per un futuro più sicuro!
