Vulnerabilidades Críticas em SAP Estão Sendo Ativamente Exploradas em Ataques em Curso Mundialmente
Índice:
Em 6 de abril de 2021, o US-CERT emitiu um alerta urgente advertindo sobre uma campanha maliciosa em andamento que aproveita antigas vulnerabilidades em aplicativos SAP críticos para atacar organizações em todo o mundo. De acordo com especialistas em segurança, os atores de ameaça aplicam uma variedade de técnicas, táticas e procedimentos para atacar instâncias inseguras. O ataque bem-sucedido pode resultar em comprometimento total do sistema, despejo de dados corporativos sensíveis e interrupção de processos de negócios cruciais.
Antigas Vulnerabilidades do SAP Sob Ataque
De acordo com o relatório conjunto da SAP e Onapsis Research Labs, os atores de ameaça realizam ataques de força bruta em contas de usuário SAP com altos privilégios e aproveitam uma variedade de falhas conhecidas (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207, CVE-2016-9563, CVE-2020-5326, CVE-2016-3976) para comprometimento inicial, escalonamento de privilégios, execução de comandos e movimentação lateral em sistemas comprometidos. Três dessas falhas (CVE-2020-6287, CVE-2016-3976, CVE-2020-6207) possuem uma pontuação CVSSv3 de 10,0, representando uma ameaça altamente crítica para sistemas SAP e aplicativos de negócios. As demais falhas são problemas de alta e média severidade que também estão servindo bem para alcançar os objetivos maliciosos da campanha.
Para expandir as capacidades maliciosas e aumentar a escala de comprometimento, os adversários encadeiam as vulnerabilidades durante os ataques contra sistemas SAP vulneráveis. O relatório da Onapsis destaca uma dessas intrusões, durante a qual hackers exploraram a CVE-2020-6287 para criar um usuário admin e fazer login no sistema-alvo com os maiores privilégios. Em seguida, os atores mal-intencionados aproveitaram a CVE-2018-2380 para upload de shell e utilizaram a CVE-2016-3976 para acessar credenciais de login para contas de alta privilégios e bancos de dados principais. Notavelmente, toda a operação maliciosa durou menos de 90 minutos.
Atores de Ameaça
Os especialistas da Onapsis acreditam que a atividade maliciosa relacionada ao ataque ao SAP se origina de uma infraestrutura disseminada gerida por grupos de ameaça coordenados. Os adversários confiam na mesma abordagem enquanto realizam intrusões em sistemas operacionais, ataques em redes e comprometimento de principais aplicativos de negócios. Notavelmente, a atividade maliciosa é registrada em múltiplos países ao redor do globo, incluindo Hong Kong, Japão, Índia, EUA, Suécia, Taiwan, Iêmen e Vietnã.
As ações coordenadas visam principalmente o reconhecimento, acesso inicial, persistência, escalonamento de privilégios, evasão, e comando e controle de sistemas SAP, incluindo aplicações financeiras, de gerenciamento de capital humano e de cadeia de suprimentos.
Os atacantes estão continuamente buscando novas vulnerabilidades em aplicativos SAP, sendo extremamente rápidos em transformá-las em armas. O relatório da Onapsis afirma que os hackers levam de 3 a 72 horas após o lançamento do patch para produzir explorações funcionais. Dado que muitas empresas não conseguem proteger suas instalações a tempo, a ameaça para os aplicativos SAP críticos é persistente e contínua.
Alvos
Mais de 400.000 empresas em todo o mundo usam aplicativos SAP para gerenciar seus processos de negócios cruciais. A lista inclui organizações líderes em farmacêutica, utilidades, infraestrutura crítica, defesa, governo e outras de alto nível. Estima-se que 92% da lista Forbes Global 2000 dependem de sistemas SAP para impulsionar suas operações diárias. Além disso, especialistas observam que mais de 77% da receita transacional mundial toca produtos SAP. Portanto, o ataque em curso ao SAP representa um grande risco para a economia global.
Embora a SAP não tenha divulgado qualquer violação direta relacionada a clientes, ligada a essa campanha maliciosa, profissionais de segurança da Onapsis registraram aproximadamente 1.500 ataques contra aplicativos SAP durante junho de 2020 – março de 2021. Pelo menos 300 deles foram bem-sucedidos e atingiram o objetivo malicioso.
Detecção de Vulnerabilidades do SAP
Para detectar a exploração de vulnerabilidades do SAP e proteger os ambientes organizacionais, os usuários são incentivados a realizar uma avaliação de comprometimento de suas aplicações SAP e verificar se todas as instâncias estão totalmente corrigidas contra as falhas existentes. Todas as vulnerabilidades sob ataque são bastante antigas, com um conjunto completo de patches e mitigações já disponíveis. Além disso, os clientes SAP são orientados a proteger suas contas voltadas para a Internet com credenciais fortes e minimizar a quantidade de sistemas expostos à web pública.
Para melhorar a defesa proativa contra possíveis ataques, você pode baixar um conjunto de regras Sigma lançadas pela equipe de conteúdo da SOC Prime e nossos desenvolvedores Threat Bounty atentos.
Comportamento Possível de Exploração do SAP Solution Manager [CVE-2020-6207] (via cmdline)
CVE-2020-6287 SAP NetWeaver – Bypass de Autenticação via Assistente de Configuração LM
Detecção de CVE-2020-6287 Servidor de Aplicações SAP NetWeaver (AS) Java
Além disso, você pode verificar a lista completa de detecções relacionadas ao ataque SAP em andamento diretamente da Threat Detection Marketplace. Fique atento ao nosso blog para não perder novas regras sobre essas vulnerabilidades incômodas.
Obtenha uma assinatura gratuita do Threat Detection Marketplace tpara reduzir o tempo médio de detecção de ataques cibernéticos com nossa biblioteca de conteúdo SOC de mais de 100K+. A base de conteúdo é enriquecida diariamente para identificar as ameaças cibernéticas mais alarmantes nas primeiras etapas do ciclo de vida do ataque. Deseja criar seu próprio conteúdo curado? Junte-se ao nosso programa Threat Bounty para um futuro mais seguro!
