SAP-Bugs unter aktiver Cyberattacke, die eine weit verbreitete Kompromittierung verursacht

Cyber Security News

Cyberangreifer nutzen aktiv bekannte Sicherheitslücken in weit verbreiteten, unternehmenskritischen SAP-Anwendungen aus und ermöglichen so die vollständige Übernahme und den weiteren Befall einer Organisation.

Aktive Cyberangriffe auf bekannte Sicherheitslücken in SAP-Systemen könnten zu einer vollständigen Kontrolle über ungesicherte SAP-Anwendungen führen, warnen Forscher.

Laut einer am Dienstag veröffentlichten Warnung von SAP und der Sicherheitsfirma Onapsis führen Angreifer eine Reihe von Angriffen durch – darunter Diebstahl sensibler Daten, Finanzbetrug, Unterbrechung geschäftskritischer Prozesse und andere Betriebsstörungen sowie die Verbreitung von Ransomware und anderer Malware.

SAP-Anwendungen unterstützen Unternehmen bei der Verwaltung kritischer Geschäftsprozesse – einschließlich Enterprise Resource Planning (ERP), Product Lifecycle Management, Customer Relationship Management (CRM) und Supply-Chain-Management.

Von Mitte 2020 bis heute haben die Forscher von Onapsis mehr als 300 erfolgreiche Exploit-Versuche auf ungeschützte SAP-Instanzen aufgezeichnet.

Wer ist gefährdet?

Leider könnten die laufenden Angriffe weitreichende Folgen haben, wie SAP in der Warnung anmerkt:

“92 Prozent der Forbes-Global-2000-Unternehmen haben sich für SAP entschieden, um ihre Geschäftsabläufe zu steuern und die globale Wirtschaft anzukurbeln”, heißt es in der Warnung. “Mit mehr als 400.000 Unternehmen, die SAP nutzen, berühren 77 Prozent des weltweiten Transaktionsumsatzes ein SAP-System. Zu diesen Unternehmen gehören die überwiegende Mehrheit der Pharmaunternehmen, kritische Infrastrukturen und Versorgungsunternehmen, Lebensmittelhändler, Verteidigungsunternehmen und viele mehr.”

Regierungsbehörden sollten besonders auf die Flut von Angriffen achten, so die Forscher.

“SAP-Systeme sind ein prominenter Angriffsvektor für bösartige Akteure”, so Kevin Dunne, President bei Pathlock, gegenüber Threatpost. “Die meisten Bundesbehörden arbeiten mit SAP, da es der Industriestandard für Regierungsbehörden geworden ist. Allerdings sind diese SAP-Implementierungen oft vor Ort und werden aufgrund von Sicherheitsbedenken von den Regierungsbehörden selbst verwaltet. Diese Systeme werden dann zunehmend angreifbar, wenn Updates und Patches nicht rechtzeitig eingespielt werden, was sie für interessierte Hacker weit offen lässt.”

Der Technologiesektor ist ein weiteres heißes Ziel für Angriffe, so Setu Kulkarni, Vice President of Strategy bei WhiteHat Security.

“Unsere Berichte haben ergeben, dass unabhängige Softwareanbieter (ISVs) und Technologieunternehmen überdurchschnittlich stark gefährdet sind”, erklärte er gegenüber Threatpost. “Wir stellen fest, dass ISVs und Technologieunternehmen bei der Sicherheit nicht konsequent genug vorgehen, da sie die Sicherheitsverantwortung letztlich an die Unternehmen weitergeben, die den ISV nutzen, um Produkte für ihre Kunden zu entwickeln.”

Aktive Ausbeutung

Die Angriffe erzwingen hochprivilegierte SAP-Benutzerkonten und nutzen eine Reihe von bekannten Fehlern aus: CVE-2020-6287, CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 und CVE-2010-5326, heißt es in der Warnung.

Bei den Angreifern handelt es sich laut Onapsis um “fortgeschrittene Bedrohungsakteure”, was sich unter anderem daran zeigt, wie schnell sie Exploits entwickeln konnten.

Es gibt “schlüssige Beweise dafür, dass Cyberangreifer aktiv auf ungesicherte SAP-Anwendungen abzielen und diese ausnutzen, und zwar mit einer Vielzahl von Techniken, Werkzeugen und Verfahren sowie klaren Hinweisen auf ein ausgefeiltes Wissen über geschäftskritische Anwendungen”, heißt es in der Warnung. “Das Zeitfenster für Verteidiger ist deutlich kleiner als bisher angenommen, mit Beispielen von SAP-Schwachstellen, die in weniger als 72 Stunden nach der Veröffentlichung von Patches als Waffe eingesetzt werden, und neuen ungeschützten SAP-Anwendungen, die in Cloud-Umgebungen (IaaS) bereitgestellt werden, die in weniger als drei Stunden entdeckt und kompromittiert werden.”

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/06130028/SAp-1024x319.png]

Quelle: Onapsis.

Die Ausgaben sind wie folgt: CVE-2020-6287 ist ein kritisches Authentifizierungsumgehungsproblem in SAP NetWeaver Application Server Java, das eine vollständige Übernahme des Kontos ermöglicht; CVE-2020-6207 ist ein weiterer kritischer Authentifizierungs-Bypass-Fehler im SAP Solution Manager; CVE-2018-2380 ist ein mittelschwerer Fehler in SAP CRM, der es einem Angreifer ermöglicht, eine unzureichende Validierung der von den Benutzern angegebenen Pfadinformationen auszunutzen; CVE-2016-9563 ist ebenfalls ein Fehler mittleren Schweregrads, diesmal in SAP NetWeaver AS Java. Entfernte authentifizierte Benutzer können ihn ausnutzen, um XML External Entity (XXE)-Angriffe durchzuführen, die es ihnen ermöglichen, in die XML-Verarbeitung einzugreifen; CVE-2016-3976 ist eine hochgradige Directory Traversal-Schwachstelle in SAP NetWeaver AS Java, die es entfernten Angreifern ermöglicht, beliebige Dateien zu lesen; Und CVE-2010-5326 ist ein 11 Jahre altes kritisches Problem im Invoker Servlet auf SAP NetWeaver AS Java. Es erfordert keine Authentifizierung, was entfernten Angreifern die Ausführung von beliebigem Code über eine HTTP- oder HTTPS-Anfrage ermöglicht.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/06141350/SAP-vulnerability-groups-300x169.png]

Exploit verwendet – zum Vergrößern anklicken. Quelle: Onapsis.

Nach dem anfänglichen Zugriff beobachtete Onapsis, dass Bedrohungsakteure die Schwachstellen nutzten, um Persistenz zu etablieren, zur Privilegienerweiterung, zur Umgehung und schließlich zur vollständigen Kontrolle über SAP-Systeme, einschließlich Finanz-, Human Capital Management- und Supply-Chain-Anwendungen.

“Zusätzlich wurden Versuche beobachtet, Schwachstellen zu verketten, um eine Privilegienerweiterung für den Zugriff auf Betriebssystemebene zu erreichen, was die potenziellen Auswirkungen über SAP-Systeme und -Anwendungen hinaus erweitert”, so die Analyse.

Laut Onapsis war ein Akteur beispielsweise in der Lage, einen Admin-Benutzer zu scannen und zu erstellen, indem er ein Exploit-Dienstprogramm für CVE-2020-6287 verwendete. Nach der erfolgreichen Erstellung des Profils und der Anmeldung wurden weitere Exploits gegen CVE-2018-2380 für den Shell-Upload ausgeführt, da die Angreifer versuchten, auf die Betriebssystemebene zuzugreifen. Anschließend wurden Exploits für CVE-2016-3976 ausgeführt, die auf den Download eines “Credential Store” abzielten, der Zugriff auf Logins für hochprivilegierte Konten und die Kerndatenbank bietet. Beunruhigenderweise geschah dies alles laut Onapsis innerhalb von 90 Minuten.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/06132248/SAP-chaining-1024x568.png]

Exploit-Verkettung. Quelle: Onapsis.

Interessanterweise patchen die Cyberangreifer in einigen Fällen die ausgenutzten Schwachstellen, nachdem sie Zugriff auf die Umgebung eines Opfers erhalten haben, so Onapsis.

“Diese Aktion veranschaulicht das fortgeschrittene Domänenwissen der Bedrohungsakteure über SAP-Anwendungen, den Zugriff auf die Patches des Herstellers und ihre Fähigkeit, diese Systeme neu zu konfigurieren”, so das Unternehmen. “Diese Technik wird häufig von Bedrohungsakteuren verwendet, um Hintertüren auf scheinbar gepatchten Systemen zu implementieren, um die Persistenz aufrechtzuerhalten oder die Erkennung zu umgehen.”

Wer steckt hinter den SAP-Angriffen?

Die Aktivitäten werden von mehreren Gruppen durchgeführt, die anscheinend koordinierte Aktivitäten über weite Teile der Infrastruktur durchführen, so die Warnung.

“Angreifer [are] die die Ausnutzung von anderen Quellsystemen als denjenigen auslösten, die für die nachfolgenden manuellen Anmeldungen verwendet wurden, wurden erkannt, was auf die Möglichkeit koordinierter Gruppen und/oder Akteure hinweist, die eine weit verbreitete Angriffsinfrastruktur nutzen”, heißt es. “Während dieses Verhalten bei der Analyse von betriebssystem- und netzwerkbasierten Angriffen üblich ist, liefern diese Daten Beweise dafür, dass derselbe Ansatz auch verwendet wird, wenn geschäftskritische Anwendungen ins Visier genommen werden, da diese Akteure TOR-Knoten und verteilte VPS-Infrastrukturen nutzen, um die Angriffe zu starten und Privilegien zu eskalieren.”

Die Aktivitäten kommen aus der ganzen Welt, unter anderem aus Hongkong, Indien, Japan, den Niederlanden, Singapur, Südkorea, Schweden, Taiwan, den Vereinigten Staaten, Vietnam und dem Jemen.

Wie kann ich eine Attacke verhindern?

Die wichtigste Methode, um diese Art von Angriffen zu vereiteln, besteht darin, die Schwachstellen zu patchen. Außerdem sollten alle Konten, die mit dem Internet verbunden sind, eindeutige Passwörter haben, um automatisierte Brute-Force-Versuche zu verhindern; und alle Systeme, die nicht mit dem öffentlichen Internet verbunden sein müssen, sollten offline genommen werden.

“Alle beobachteten ausgenutzten kritischen Schwachstellen wurden von SAP umgehend gepatcht und stehen den Kunden teilweise seit Monaten und Jahren zur Verfügung”, heißt es in der Warnung. “Leider beobachten sowohl SAP als auch Onapsis weiterhin viele Unternehmen, die immer noch nicht die richtigen Abhilfemaßnahmen angewendet haben … wodurch ungeschützte SAP-Systeme weiterhin in Betrieb sind und in vielen Fällen für Angreifer über das Internet sichtbar bleiben.”

Auch wenn das rechtzeitige Einspielen von Sicherheits-Patches entscheidend ist, um das Risiko durch größere, bekannte SAP-Schwachstellen zu schließen. Allerdings weist Dunne von Pathlock darauf hin, dass Patches nur Probleme beheben können, die in der Rückschau liegen. Da Cyberangreifer die Bugs im Hintergrund patchen, muss es auch eine Möglichkeit geben, bösartige Aktivitäten zu erkennen.

“Für einen umfassenden, vorausschauenden Ansatz zur SAP-Sicherheit müssen Unternehmen eine umfassende Lösung implementieren, um die Benutzeraktivitäten innerhalb des Systems zu überwachen, einschließlich der Interaktionen mit sensiblen Daten”, erklärte er gegenüber Threatpost. “Auf diese Weise können auch Angreifer, die über bekannte oder unbekannte Schwachstellen in SAP-Systeme eindringen können, identifiziert und ihr Schaden in Echtzeit eingedämmt werden.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Unterirdische Märkte: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com