严重的SAP错误允许完全接管企业系统

2020-07-14 22:48:41

已向SAP客户披露了一个严重漏洞,该漏洞在CVSS错误严重程度量表上的严重程度评分为10分(满分10分)。

SAP广泛部署的企业资源规划(ERP)软件集合用于管理其财务、物流、面向客户的组织、人力资源和其他业务领域。因此,这些系统包含大量敏感信息。

根据国土安全部的警报,成功利用该漏洞为攻击者打开了读取和修改财务记录;更改银行详细信息;读取个人身份信息(PII);管理购买流程;破坏或中断操作;实现操作系统命令执行;以及删除或修改痕迹、日志和其他文件的大门。

他们指出,发现该漏洞的Onapsis Research Labs研究人员已将该漏洞(CVE-2020-6287)命名为Recon,它影响了超过4万名SAP客户。SAP周二发布了该问题的补丁,作为其2020年7月安全报告的一部分。

Onapsis首席执行官马里亚诺·努涅斯告诉Threatpost:“它代表NetWeaver上的远程可利用代码。”“此漏洞存在于SAP NetWeaver Java版本7.30至7.50(截至[我们的分析出版物]的最新版本)中。到目前为止测试的所有支持包都是易受攻击的。SAP NetWeaver是几种SAP产品和解决方案的基础层。“。

根据该公司的说法,利用该漏洞的攻击者将在各种不同的情况下不受限制地访问关键业务信息和流程。

据Onapsis称,该漏洞影响到每个运行SAP NetWeaver Java技术堆栈的SAP应用程序中存在的默认组件。研究人员说,这一技术组件用于许多SAP业务解决方案,如SAP S/4HANA、SAP SCM、SAP CRM、SAP CRM、SAP Enterprise Portal、SAP Solution Manager(Solman)和许多其他解决方案。

根据国土安全部的说法,该漏洞是由于SAP NetWeaver的Web组件中与Java一样缺乏身份验证造成的,从而允许SAP系统上的多个高权限活动。未经验证的远程攻击者可以通过HTTP接口攻击此漏洞,该接口通常向最终用户公开,在许多情况下还会向Internet公开。

警报称:“如果攻击成功,未经验证的远程攻击者可以通过创建高权限用户并使用SAP服务用户帐户(<;sid>;adm)的权限执行任意操作系统命令,从而获得对SAP系统的不受限制的访问权限,该帐户拥有对SAP数据库的无限制访问权限,并且能够执行应用程序维护活动,例如关闭联合SAP应用程序。”

Nunez说,换句话说,未经验证的攻击者可以创建具有最大权限的新SAP用户,绕过所有访问和授权控制(如职责分离、身份管理以及治理、风险和合规解决方案),并获得对SAP系统的完全控制。

Onapsis在周二发布的一份技术分析报告中表示:“由于SAP NetWeaver Java是几种SAP产品的基本基础层,具体影响将因受影响的系统而异。”具体地说,在NetWeaver Java之上运行的不同SAP解决方案有一个共同的特殊性:它们通过API和接口进行超级连接。换言之,这些应用程序连接到内部和外部的其他系统,通常利用高特权的信任关系。“。

虽然这已经足够糟糕了,但当受影响的解决方案暴露在互联网上,将公司与业务合作伙伴、员工和客户联系起来时,Recon漏洞的风险会增加。研究人员说,这些系统-Onapsis估计至少有2500个-远程攻击的可能性增加。在这些易受攻击的安装中,33%在北美,29%在欧洲,27%在亚太地区。

“由于攻击者通过利用未打补丁的系统获得的不受限制的访问类型,该漏洞还可能构成企业IT控制中的一个缺陷,以满足监管要求-潜在地影响财务(萨班斯-奥克斯利法案)和隐私(GDPR)合规性,”根据这份记录,“这一漏洞可能会影响财务(萨班斯-奥克斯利法案)和隐私(GDPR)合规性。”

研究人员建议,应该立即应用SAP的补丁。虽然目前还没有迹象表明这一漏洞已被利用,但努内兹告诉Threatpost,SAP客户现在应该保持高度警惕,因为漏洞已经宣布,国土安全部已经发出了美国CERT警报。

“现在漏洞和补丁已经发布,熟练的黑客可以快速开发利用代码,”他说。因为有许多易受攻击的暴露在互联网上的SAP系统,所以攻击的复杂性大大降低。“。

尽管如此,Onapsis团队承认,由于任务关键型应用程序的复杂性和有限的维护窗口,组织经常面临快速应用SAP安全说明的挑战。

Nunez告诉Threatpost:“很难修补像SAP这样的关键任务应用程序,因为它们需要持续可用。”“测试可能需要很长时间,这取决于应用程序的复杂性和定制化。此外,可用于应用补丁程序的维护窗口也很有限。“。

他补充说:“对于SAP客户来说,Recon等关键漏洞突显了保护关键任务应用程序的必要性,方法是扩展现有的网络安全和合规计划,以确保这些应用程序不再处于盲区。这些系统是企业的命脉,在严格的合规要求范围内,因此没有什么比这更重要的了。“。

BEC和企业电子邮件诈骗正在激增,但DMARC可以提供帮助-如果处理得当的话。7月15日下午2点。ET,与Valimail全球技术总监Steve Whitter和Threatpost一起参加一个免费的网络研讨会,名为“DMARC:7个常见的商业电子邮件错误”。此技术“最佳实践”会议将涵盖构建、配置和管理电子邮件身份验证协议,以确保您的组织受到保护。单击此处注册参加由Valimail赞助的Threatpost网络研讨会。