전 세계에서 진행 중인 공격에 적극적으로 악용되는 중대한 SAP 취약점

2021년 4월 6일에 US-CERT는 긴급 경고를 발령했습니다 전 세계 조직을 대상으로 하는 지속적인 악성 캠페인에 대해 경고했습니다. 이 캠페인은 주요 SAP 애플리케이션의 오래된 취약점을 이용합니다. 보안 전문가에 따르면, 위협 행위자들은 다양한 기술, 전술 및 절차를 적용하여 안전하지 않은 인스턴스를 겨냥합니다. 성공적인 공격은 시스템 전체의 손상, 민감한 기업 데이터 유출 및 주요 비즈니스 프로세스의 중단을 초래할 수 있습니다.

공격받고 있는 오래된 SAP 취약점

이에 따르면 SAP와 Onapsis 리서치 랩의 공동 보고서 에 따르면, 위협 행위자들은 권한이 높은 SAP 사용자 계정을 무차별 대입하고 다양한 알려진 결함(CVE-2020-6287, CVE-2016-3976, CVE-2020-6207, CVE-2016-9563, CVE-2020-5326, CVE-2016-3976)을 이용하여 초기 손상, 권한 상승, 명령 실행 및 손상된 시스템 전반에 걸친 횡적 이동을 수행합니다. 세 가지 결함(CVE-2020-6287, CVE-2016-3976, CVE-2020-6207)은 CVSSv3 점수가 10.0으로, SAP 시스템 및 비즈니스 애플리케이션에 대해 매우 심각한 위협입니다. 나머지 결함들은 높은 심각도와 중간 심각도의 문제로, 캠페인의 악의적 목표를 달성하는 데에도 효과적입니다.

악성 기능을 확장하고 손상의 규모를 증가시키기 위해, 공격자들은 취약점을 체인링하여 취약한 SAP 시스템을 대상으로 한 공격을 수행합니다. Onapsis 보고서는 이러한 침입 중 하나를 강조하며, 해커들이 CVE-2020-6287을 이용하여 최고 권한으로 대상 시스템에 로그인할 수 있는 관리자 사용자를 생성한 사례를 설명합니다. 그 후, 악의적 행위자들은 CVE-2018-2380를 활용하여 셸 업로드를 수행하고, CVE-2016-3976을 사용하여 고급 권한 계정 및 주요 데이터베이스에 대한 로그인 자격 증명에 접근했습니다. 주목할 점은 전체 악의적 작업이 90분 이내에 완료되었다는 것입니다.

위협 행위자

Onapsis 전문가들은 SAP 공격과 관련된 악의적 활동이 협조된 위협 그룹이 관리하는 광범위한 인프라에서 비롯된 것으로 믿고 있습니다. 공격자들은 OS 침입, 네트워크 기반 공격, 주요 비즈니스 애플리케이션 손상 등에서도 동일한 접근 방식을 사용합니다. 주목할 점은 악의적 활동이 홍콩, 일본, 인도, 미국, 스웨덴, 대만, 예멘 및 베트남을 포함한 여러 국가에서 등록되고 있다는 것입니다.

협조된 조치는 주로 정찰, 초기 접근, 지속성, 권한 상승, 회피, SAP 시스템의 명령 및 제어에 초점을 맞추고 있으며, 여기에는 금융, 인적 자원 관리 및 공급망 애플리케이션이 포함됩니다.

공격자들은 계속해서 SAP 애플리케이션에서 새로운 취약점을 찾으며, 이를 무기로 만드는 데 매우 빠릅니다. Onapsis 보고서는 해커들이 패치 발표 3 ~ 72시간 내에 작동하는 익스플로잇을 생성한다고 명시하고 있습니다. 많은 기업들이 설치를 제때 보호하지 못하는 상황에서, 주요 SAP 애플리케이션에 대한 위협은 지속적이고 계속되고 있습니다.

대상

전 세계적으로 400,000개 이상의 기업이 주요 비즈니스 프로세스를 관리하기 위해 SAP 애플리케이션을 사용하고 있습니다. 이 목록에는 주요 제약회사, 유틸리티, 필수 기반 시설, 방위, 정부 기관 및 기타 중요한 조직이 포함됩니다. 추산에 따르면, 포브스 글로벌 2000 목록의 92%가 SAP 시스템에 의존하여 일상적인 운영을 강화합니다. 또한, 전문가들은 전 세계 거래 수익의 77% 이상이 SAP 제품과 관련이 있음을 주목합니다. 따라서 계속되는 SAP 공격은 전 세계 경제에 큰 위험을 초래합니다.

SAP는 아직 이 악성 캠페인과 관련된 직접적인 고객 위반 사항을 공개하지 않았지만, Onapsis의 보안 실무자들은 2020년 6월부터 2021년 3월까지 SAP 애플리케이션을 대상으로 한 약 1,500건의 공격을 등록했습니다. 이 중 적어도 300건은 성공적이었고 악의적 목표에 도달했습니다.

SAP 취약점 탐지

SAP 취약점의 악용을 탐지하고 조직 환경을 보호하기 위해 사용자는 SAP 애플리케이션의 손상 평가를 수행하고 모든 인스턴스가 기존 결함에 대해 완전히 패치되어 있는지 확인해야 합니다. 모든 공격받고 있는 취약점은 꽤 오래된 것으로, 이미 전체 패치와 완화책이 제공되고 있습니다. 또한, SAP 고객들은 강력한 자격 증명을 사용하여 인터넷에 노출된 계정을 보호하고, 공용 웹에 노출된 시스템의 수를 최소화하도록 권장받고 있습니다.

가능한 공격에 대한 사전 방어 강화를 위해, SOC Prime 콘텐츠 팀과 열성적인 위협 현상금 개발자가 출시한 Sigma 규칙 세트를 다운로드할 수 있습니다.

가능한 SAP 솔루션 관리자 익스플로잇 행동 [CVE-2020-6207] (cmdline 통해)

의심스러운 SAP 사용자 생성 작업 [CVE-2020-6287 익스플로잇의 가능한 결과] (sap 감사 통해)

CVE-2020-6287 SAP NetWeaver – LM 구성 마법사를 통한 인증 우회

SAP NetWeaver 애플리케이션 서버 (AS) Java CVE-2020-6287 탐지

또한, 확인할 수 있습니다 현재 진행 중인 SAP 공격과 관련된 전체 탐지 목록 는 직접 Threat Detection Marketplace에서 제공합니다. 이러한 나쁜 취약성에 대한 새로운 규칙을 놓치지 않도록 블로그를 구독하십시오.

Threat Detection Marketplace를 무료로 구독하세요 t사이버 공격 탐지 시간을 줄이기 위해 100K+ SOC 콘텐츠 라이브러리를 이용하십시오. 콘텐츠 기반은 공격 수명 주기 초기 단계에서 가장 경고할 만한 사이버 위협을 식별하기 위해 매일 강화됩니다. 나만의 커스텀 콘텐츠를 만들고 싶으신가요? 우리의 Threat Bounty 커뮤니티에 가입하여 더 안전한 미래를 만드세요!

플랫폼으로 이동 Threat Bounty 가입