Achtung! Unternehmenskritische SAP-Anwendungen werden aktiv angegriffen

Cyber Security News

Cyber-Angreifer haben es aktiv auf ungesicherte SAP-Anwendungen abgesehen, um Informationen zu stehlen und kritische Prozesse zu sabotieren, so eine neue Studie.

“Eine beobachtete Ausnutzung könnte in vielen Fällen zu einer vollständigen Kontrolle über die ungesicherte SAP-Anwendung führen, die üblichen Sicherheits- und Compliance-Kontrollen umgehen und es Angreifern ermöglichen, sensible Informationen zu stehlen, finanziellen Betrug zu begehen oder geschäftskritische Prozesse zu unterbrechen, indem sie Ransomware einsetzen oder den Betrieb anhalten”, so das Cybersecurity-Unternehmen Onapsis und SAP in einem heute veröffentlichten gemeinsamen Bericht.

Das in Boston ansässige Unternehmen gab an, zwischen Mitte 2020 und März 2021 mehr als 300 erfolgreiche Exploits von insgesamt 1.500 Versuchen entdeckt zu haben, die auf bereits bekannte Schwachstellen und unsichere Konfigurationen spezifisch für SAP-Systeme abzielten, wobei mehrere Brute-Force-Versuche von Angreifern unternommen wurden, die auf SAP-Konten mit hohen Privilegien abzielten, sowie die Verkettung mehrerer Schwachstellen, um SAP-Anwendungen anzugreifen.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Zu den Anwendungen, die ins Visier genommen wurden, gehören unter anderem Enterprise Resource Planning (ERP), Supply Chain Management (SCM), Human Capital Management (HCM), Product Lifecycle Management (PLM) und Customer Relationship Management (CRM).

Beunruhigenderweise beschreibt der Onapsis-Bericht die Bewaffnung von SAP-Schwachstellen in weniger als 72 Stunden nach der Veröffentlichung von Patches, wobei neue ungeschützte SAP-Anwendungen, die in Cloud-Umgebungen bereitgestellt werden, in weniger als 3 Stunden entdeckt und kompromittiert werden.

In einem Fall tauchte einen Tag, nachdem SAP am 14. Juli 2020 einen Patch für CVE-2020-6287 (mehr dazu unten) veröffentlicht hatte, ein Proof-of-Concept-Exploit in freier Wildbahn auf, dem am 16. Juli eine massive Scan-Aktivität und am 17. Juli 2020 die Veröffentlichung eines voll funktionsfähigen öffentlichen Exploits folgte.

Die Angriffsvektoren waren nicht weniger raffiniert. Es wurde festgestellt, dass die Angreifer eine Vielzahl von Techniken, Tools und Prozeduren einsetzen, um sich einen ersten Zugang zu verschaffen, Privilegien zu erweitern, Web-Shells für die Ausführung beliebiger Befehle zu öffnen, SAP-Administrator-Benutzer mit hohen Privilegien zu erstellen und sogar Datenbank-Anmeldeinformationen zu extrahieren. Die Angriffe selbst wurden mit Hilfe von TOR-Knoten und verteilten Virtual Private Servern (VPS) gestartet.

[Blocked Image: https://thehackernews.com/images/-thOJEuCUSH4/YGxjK5MJGmI/AAAAAAAACLk/k5kYRCll1SYAktNePrl_GDL-cUcYgfNswCLcBGAsYHQ/s0/cyberattack.jpg]

Die sechs Schwachstellen, die von den Bedrohungsakteuren ausgenutzt wurden, umfassen. CVE-2010-5326 (CVSS-Score: 10) – Fehler bei der Remotecodeausführung in SAP NetWeaver Application Server (AS) Java CVE-2016-3976 (CVSS-Score: 7.5) – Schwachstelle beim Directory Traversal in SAP NetWeaver AS Java CVE-2016-9563 (CVSS-Score: 6.4) – XML External Entity (XXE)-Erweiterungsschwachstelle in der Komponente BC-BMT-BPM-DSK von SAP NetWeaver AS Java CVE-2018-2380 (CVSS-Score: 6.6) – Directory Traversal-Schwachstelle in der Komponente Internet Sales in SAP CRM CVE-2020-6207 (CVSS-Score: 9.8) – Fehlende Authentifizierungsprüfung im SAP Solution Manager CVE-2020-6287 (CVSS-Score: 10) – RECON (aka Remotely Exploitable Code On NetWeaver)-Fehler in der Komponente LM Configuration Wizard

Erstmals im Juli 2020 offengelegt, könnte eine erfolgreiche Ausnutzung von CVE-2020-6287 einem nicht authentifizierten Angreifer vollen Zugriff auf das betroffene SAP-System geben, mit der “Möglichkeit, Finanzdaten zu ändern, persönlich identifizierbare Informationen (PII) von Mitarbeitern, Kunden und Lieferanten zu stehlen, Daten zu beschädigen, Protokolle und Spuren zu löschen oder zu ändern und andere Aktionen durchzuführen, die wesentliche Geschäftsabläufe, Cybersicherheit und die Einhaltung von Vorschriften gefährden.”

[Blocked Image: https://thehackernews.com/images/-P7kvKFVSqWU/YGXEz3gk_tI/AAAAAAAA3uY/qiCyRaK_IA07iGtzVQCOTsnjHTYGR_gKgCLcBGAsYHQ/s728-e100/thn-728-2.png]

Onapsis sagte auch, dass es in der Lage war, Scan-Aktivitäten für CVE-2020-6207 zu erkennen, die bis zum 19. Oktober 2020 zurückreichen, fast drei Monate vor der öffentlichen Veröffentlichung eines voll funktionsfähigen Exploits am 14. Januar 2021, was impliziert, dass Bedrohungsakteure vor der öffentlichen Bekanntgabe Kenntnis von dem Exploit hatten.

Darüber hinaus wurde bei einem separaten Angriff, der am 9. Dezember beobachtet wurde, eine Verkettung von Exploits für drei der Schwachstellen festgestellt, nämlich CVE-2020-6287 für die Erstellung eines Admin-Benutzers und die Anmeldung am SAP-System, CVE-2018-2380 für die Privilegienerweiterung und CVE-2016-3976 für den Zugriff auf hochprivilegierte Konten und die Datenbank.

“Das alles geschah innerhalb von 90 Minuten”, so die Onapsis-Forscher.

Zwar wurden keine Verstöße bei Kunden aufgedeckt, aber sowohl SAP als auch Onapsis raten Unternehmen dringend, eine Kompromissbewertung von Anwendungen durchzuführen, relevante Patches anzuwenden und Fehlkonfigurationen zu beheben, um unbefugten Zugriff zu verhindern.

“Die kritischen Erkenntnisse […] beschreiben Angriffe auf Schwachstellen, für die seit Monaten und sogar Jahren Patches und sichere Konfigurationsrichtlinien verfügbar sind”, so Mariano Nunez, CEO von Onapsis. “Leider arbeiten immer noch zu viele Unternehmen mit einer großen Governance-Lücke in Bezug auf die Cybersicherheit und Compliance ihrer geschäftskritischen Anwendungen, was es externen und internen Bedrohungsakteuren ermöglicht, auf ihre sensibelsten und regulierten Informationen und Prozesse zuzugreifen, sie zu exfiltrieren und die volle Kontrolle darüber zu erlangen.”

“Unternehmen, die diesen bekannten Risiken keine Priorität eingeräumt haben, sollten ihre Systeme als kompromittiert betrachten und sofortige und angemessene Maßnahmen ergreifen”, so Nunez weiter.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com