重大SAP脆弱性が世界中で進行中の攻撃で積極的に悪用されている

2021年4月6日、 US-CERTは緊急警告を発しました ミッションクリティカルなSAPアプリケーションの古い脆弱性を悪用し、世界中の組織を対象とする進行中の悪質なキャンペーンについて警告しています。セキュリティ専門家によると、脅威アクターは不確実なインスタンスをターゲットにするために、さまざまな技術、戦術、手法を適用します。成功した攻撃は、システム全体の妥協、機密企業データのダンピング、および重要なビジネスプロセスの中断を引き起こす可能性があります。

攻撃を受けている古いSAP脆弱性

によると、 SAPとOnapsis Research Labsの共同報告によれば、脅威アクターは高権限のSAPユーザーアカウントに対するブルートフォース攻撃を行い、初期アクセス、権限エスカレーション、コマンド実行、および侵害されたシステム間の横移動のために、さまざまな既知の脆弱性（CVE-2020-6287、CVE-2016-3976、CVE-2020-6207、CVE-2016-9563、CVE-2020-5326、CVE-2016-3976）を利用します。これらの脆弱性の3つ（CVE-2020-6287、CVE-2016-3976、CVE-2020-6207）は、CVSSv3スコア10.0を持ち、SAPシステムやビジネスアプリケーションに対する非常に重要な脅威です。残りの脆弱性は高および中程度の深刻度の問題で、キャンペーンの悪意ある目的達成に役立っています。 by SAP and Onapsis Research Labs, threat actors perform high-privilege SAP user accounts brute-forcing and leverage a variety of known flaws (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207, CVE-2016-9563, CVE-2020-5326, CVE-2016-3976)  for initial compromise, privilege escalation, command execution, and lateral movement across the compromised systems. Three of these flaws (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207) possess a CVSSv3 score of 10.0, being a highly critical threat to SAP systems and business applications. The rest of the flaws are high- and medium-severity issues that are also serving well for achieving the campaign’s malicious goals.

悪意ある能力を拡大し、妥協の規模を拡大するために、攻撃者は攻撃中にSAPシステムの脆弱性を連鎖させます。Onapsisのレポートはこれらの侵入の一つを強調し、ハッカーがCVE-2020-6287を利用して管理者ユーザーを作成し、ターゲットシステムに最高の権限でログインしたことを報告しています。その後、悪意のあるアクターはCVE-2018-2380をシェルアップロードのために利用し、CVE-2016-3976を使用して高度な権限を持つアカウントとコアデータベースのログイン資格情報にアクセスしました。注目すべきは、この全ての悪意ある操作が90分未満で行われたことです。

脅威アクター

Onapsisの専門家は、SAP攻撃に関連する悪意ある活動が協調された脅威グループによって管理される広範なインフラストラクチャから発生していると考えています。攻撃者はOS侵入、ネットワークベースの攻撃、主要なビジネスアプリの妥協を実行する際に、同じアプローチを頼ります。注目すべきことに、悪意のある活動は香港、日本、インド、米国、スウェーデン、台湾、イエメン、ベトナムを含む世界の複数の国で登録されています。

協調された行動は主に、偵察、初期アクセス、持続性、権限エスカレーション、回避、およびSAPシステム、金融、人事管理、サプライチェーンアプリケーションのコマンドとコントロールを目的としています。

攻撃者はSAPアプリケーションにおける新たな脆弱性を絶えず追い求め、それらを非常に素早く武装化します。Onapsisのレポートは、パッチのリリースから3時間から72時間以内に、ハッカーが動作するエクスプロイトを生成することを述べています。多くの企業がインストールをタイムリーに保護できない状況を考えると、ミッションクリティカルなSAPアプリに対する脅威は持続的で進行中です。

ターゲット

全世界で40万を超える企業がSAPアプリケーションを利用して重要なビジネスプロセスを管理しています。このリストには、主要な製薬、ユーティリティ、重要インフラ、国防、政府、および他のハイプロファイル組織が含まれます。推定では、フォーブスグローバル2000リストの92％がSAPシステムに頼って日々の業務を強化しています。さらに、専門家は世界のトランザクション収益の77％以上がSAP製品に触れていることに注目しています。したがって、進行中のSAP攻撃は世界経済に重大なリスクをもたらしています。

SAPはこの悪意あるキャンペーンに関連する顧客直接の侵害を開示していませんが、Onapsisのセキュリティ専門家によると、2020年6月から2021年3月の間にSAPアプリケーションに対する攻撃が約1,500回記録されました。そのうち少なくとも300件が成功し、悪意ある目的を達成しました。

SAP脆弱性検出

SAP脆弱性の悪用を検出し、組織環境を保護するために、ユーザーはSAPアプリケーションの妥協評価を行い、すべてのインスタンスが既存の脆弱性に対して完全にパッチされているか確認することが推奨されます。すべての注目を集める脆弱性はかなり古く、完全なパッチと緩和策がすでに利用可能です。また、SAP顧客は強力な資格情報でインターネットに直面するアカウントを保護し、公開ウェブに面するシステムの数を最小限に抑えるよう促されています。

可能な攻撃からのプロアクティブな防御を強化するために、SOC Prime Content Teamと意欲的なThreat Bounty開発者がリリースしたSigmaルールのセットをダウンロードすることができます。

可能なSAPソリューションマネージャーのエクスプロイトの動作 [CVE-2020-6207]（コマンドライン経由）

疑わしいSAPユーザー作成操作 [CVE-2020-6287の悪用による可能性]（sap監査経由）

CVE-2020-6287 SAP NetWeaver – LM設定ウィザードを介した認証バイパス

SAP NetWeaver Application Server（AS）Java CVE-2020-6287検出

また、確認することができます 進行中のSAP攻撃に関連する検出の完全なリスト はThreat Detection Marketplaceから直接ご覧いただけます。これらの厄介な脆弱性に関する新しいルールを見逃さないよう、ブログに注目してください。

Threat Detection Marketplaceの無料購読を取得します t10万以上のSOCコンテンツライブラリでサイバー攻撃検出の平均時間を短縮します。このコンテンツベースは毎日強化され、攻撃のライフサイクルの最も初期段階で最も気になるサイバー脅威を特定します。独自のキュレーションコンテンツを作成したいですか？ より安全な未来のために私たちのThreat Bountyコミュニティに参加してください！ community for a safer future!

プラットフォームへ行く Threat Bountyに参加する