全球有40多萬家企業(yè)和92%的福布斯全球2000強(qiáng)企業(yè)使用SAP的企業(yè)應(yīng)用程序進(jìn)行供應(yīng)鏈管理(SCM)、企業(yè)資源規(guī)劃(ERP)、產(chǎn)品生命周期管理(PLM)和客戶關(guān)系管理(CRM)。

目前，SAP公司和云安全公司Onapsis已經(jīng)對此發(fā)出了警告，并且與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全機(jī)構(gòu)(CISA)以及德國網(wǎng)絡(luò)安全機(jī)構(gòu)BSI發(fā)起了合作，來督促SAP的客戶及時(shí)部署補(bǔ)丁，并檢查他們的環(huán)境中是否存在不安全的應(yīng)用程序。

[[391797]]

被針對的SAP漏洞

Onapsis和SAP合作的威脅情報(bào)顯示，他們目前沒有發(fā)現(xiàn)有客戶已經(jīng)受到此次惡意活動(dòng)的攻擊而造成損失。但是，報(bào)告表示SAP客戶的環(huán)境中仍然有不安全的應(yīng)用程序，并通過本應(yīng)在幾年前就被打補(bǔ)丁的攻擊載體將組織暴露在滲透企圖中。

自2020年中期，Onapsis開始記錄針對未打補(bǔ)丁的SAP應(yīng)用的利用嘗試以來，該公司的研究人員發(fā)現(xiàn) "在2020年6月至2021年3月期間，來自近20個(gè)國家的黑客發(fā)起了1500次攻擊嘗試，成功利用了300次"。

這些攻擊背后的黑客利用了SAP應(yīng)用程序中的多個(gè)安全漏洞和不安全配置，試圖入侵目標(biāo)系統(tǒng)。

此外，他們中的一些黑客，同時(shí)在攻擊中利用多個(gè)漏洞進(jìn)行串聯(lián)，以 "最大限度地?cái)U(kuò)大影響和潛在的破壞"。

針對脆弱的SAP應(yīng)用程序的攻擊(SAP/Onapsis)

Onapsis表示，他們觀察到黑客可以利用技術(shù)來對不安全的SAP應(yīng)用程序進(jìn)行完全控制，并且可以繞過常見的安全性和合規(guī)性控制，來使攻擊者能夠通過部署勒索軟件或停止企業(yè)系統(tǒng)運(yùn)營來竊取敏感數(shù)據(jù)、執(zhí)行財(cái)務(wù)欺詐或破壞關(guān)鍵任務(wù)業(yè)務(wù)流程。

威脅報(bào)告中公布的漏洞和攻擊方式如下：

• 針對不安全的高權(quán)限SAP用戶賬戶進(jìn)行蠻力攻擊。
• CVE-2020-6287(又名RECON)：一個(gè)可遠(yuǎn)程利用的預(yù)認(rèn)證漏洞，能夠使未經(jīng)認(rèn)證的攻擊者接管脆弱的SAP系統(tǒng)。
• CVE-2020-6207：超危預(yù)認(rèn)證漏洞，可能導(dǎo)致進(jìn)攻者接管未打補(bǔ)丁的SAP系統(tǒng)。(漏洞已于2021年1月發(fā)布在Github上)。
• CVE-2018-2380：使黑客能夠升級權(quán)限并執(zhí)行操作系統(tǒng)命令，從而獲得對數(shù)據(jù)庫的訪問權(quán)，并在網(wǎng)絡(luò)中橫向移動(dòng)。
• CVE-2016-95：攻擊者可以利用這個(gè)漏洞觸發(fā)拒絕服務(wù)(DoS)狀態(tài)，并獲得對敏感信息的未授權(quán)訪問。
• CVE-2016-3976：遠(yuǎn)程攻擊者可以利用它來升級權(quán)限，并通過目錄遍歷序列讀取任意文件，從而導(dǎo)致未經(jīng)授權(quán)的信息泄露。
• CVE-2010-5326：允許未經(jīng)授權(quán)的黑客執(zhí)行操作系統(tǒng)命令，并訪問SAP應(yīng)用程序和連接的數(shù)據(jù)庫，從而獲得對SAP業(yè)務(wù)信息和流程的完全和未經(jīng)審計(jì)的控制。

根據(jù)CISA發(fā)布的警報(bào)，受到這些攻擊的組織可能會(huì)產(chǎn)生以下影響：

• 敏感數(shù)據(jù)被盜
• 金融欺詐
• 關(guān)鍵任務(wù)業(yè)務(wù)流程中斷
• 勒索軟件攻擊
• 停止所有操作

為脆弱的SAP系統(tǒng)及時(shí)打上補(bǔ)丁是所有企業(yè)組織目前的首要任務(wù)。Onapsis還指出，攻擊者在更新發(fā)布后的72小時(shí)之內(nèi)就開始瞄準(zhǔn)關(guān)鍵的SAP漏洞。

暴露和未打補(bǔ)丁的SAP應(yīng)用程序在不到3小時(shí)就會(huì)被攻破。

緩解威脅的措施

這些被濫用的漏洞只影響企業(yè)內(nèi)部的部署，包括那些在他們自己的數(shù)據(jù)中心、管理的主機(jī)托管環(huán)境或客戶維護(hù)的云基礎(chǔ)設(shè)施。SAP維護(hù)的云解決方案不受這些漏洞的影響。

為了減輕風(fēng)險(xiǎn)，SAP客戶可采取的行動(dòng)如下：

• 立即對暴露在上述漏洞中的SAP應(yīng)用程序以及未及時(shí)安裝補(bǔ)丁的SAP應(yīng)用程序進(jìn)行入侵評估。優(yōu)先考慮連網(wǎng)的SAP應(yīng)用程序。
• 立即評估SAP環(huán)境中所有應(yīng)用程序的風(fēng)險(xiǎn)，并立即應(yīng)用相關(guān)SAP安全補(bǔ)丁和安全配置。
• 立即評估SAP應(yīng)用程序是否存在配置錯(cuò)誤或未經(jīng)授權(quán)的高權(quán)限用戶，并對有風(fēng)險(xiǎn)的應(yīng)用程序進(jìn)行入侵評估。
• 如果經(jīng)過評估的SAP應(yīng)用程序目前已經(jīng)暴露，并且不能及時(shí)應(yīng)用緩解措施，則應(yīng)部署補(bǔ)償控制并監(jiān)控活動(dòng)，以檢測任何潛在的威脅活動(dòng)，直到實(shí)施緩解措施。

來源：bleepingcomputer