Errores de SAP sometidos a un ciberataque activo que provocan un compromiso generalizado - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Errores de SAP sometidos a un ciberataque activo que provocan un compromiso generalizado

Hola y mil gracias por leerme. Te habla Eduardo Arroyo y en esta ocasión vamos a hablar sobre Errores de SAP sometidos a un ciberataque activo que provocan un compromiso generalizado

Errores de SAP sometidos a un ciberataque activo que provocan un compromiso generalizado

Los ciberataques están explotando activamente las vulnerabilidades de seguridad conocidas en aplicaciones SAP de misión crítica ampliamente distribuidas, lo que permite un control total y la capacidad de infestar aún más una organización.

Los ciberataques activos sobre vulnerabilidades conocidas en los sistemas SAP podrían conducir a un control total de las aplicaciones SAP no seguras, advierten los investigadores.

Los oponentes están llevando a cabo una serie de ataques, segundo una notificación Publicado el martes por SAP y la firma de seguridad Onapsis, que incluye robo de datos confidenciales, fraude financiero, interrupción de procesos comerciales de misión crítica y otras interrupciones operativas, y entrega de ransomware y otro malware.

Las aplicaciones de SAP ayudan a las organizaciones a gestionar los procesos comerciales críticos, incluida la planificación de recursos empresariales (ERP), la gestión del ciclo de vida del producto, la gestión de las relaciones con los clientes (CRM) y la gestión de la cadena de suministro.

Desde mediados de 2020, los investigadores de Onapsis han registrado más de 300 intentos de explotación exitosos en instancias de SAP no seguras.

¿Quién está en riesgo?

Desafortunadamente, los ataques en curso podrían tener consecuencias de gran alcance, como señaló SAP en la advertencia:

«Estas son las aplicaciones que el 92% de Forbes Global 2000 ha estandarizado en SAP para mejorar sus operaciones y potenciar la economía global», señaló el aviso. “Con más de 400.000 organizaciones que utilizan SAP, el 77% de los ingresos por transacciones globales van a un sistema SAP. Estas organizaciones incluyen la gran mayoría de las empresas farmacéuticas, de infraestructura crítica y de servicios públicos, distribuidores de alimentos, defensa y muchas más «.

Las agencias gubernamentales deberían prestar especial atención a la ola de ataques, dijeron los investigadores.

«Los sistemas SAP son un vector de ataque importante para los malos actores», dijo a Threatpost Kevin Dunne, presidente de Pathlock. “La mayoría de las agencias federales utilizan SAP, ya que se ha convertido en el estándar de la industria para las agencias gubernamentales. Sin embargo, estas implementaciones de SAP a menudo se realizan en las instalaciones y son administradas por las propias agencias gubernamentales debido a problemas de seguridad. Por lo tanto, estos sistemas se vuelven cada vez más vulnerables cuando las actualizaciones y los parches no se aplican de manera oportuna, dejándolos abiertos a los piratas informáticos afectados «.

El sector tecnológico es otro objetivo candente de los ataques, según Setu Kulkarni, vicepresidente de estrategia de WhiteHat Security.

«Nuestros informes encontraron que los proveedores de software independientes (ISV) y las empresas de tecnología tienen una ventana de exposición excesivamente alta», dijo a Threatpost. «Estamos viendo que los ISV y las empresas de tecnología carecen de su rigor de seguridad, ya que en última instancia pueden transferir responsabilidades de seguridad a las empresas que utilizan el ISV para crear productos para sus clientes».

Los ataques están forzando cuentas de usuario de SAP con privilegios elevados, además de explotar una serie de errores conocidos: CVE-2020-6287, CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 es CVE-2010-5326, según la advertencia.

Los adversarios son «actores de amenazas avanzadas», según Onapsis, como lo demuestra la velocidad con la que fueron capaces de desarrollar exploits, entre otras cosas.

Existe «evidencia concluyente de que los ciberatacantes están apuntando y explotando activamente aplicaciones SAP no seguras, a través de un conjunto variado de técnicas, herramientas y procedimientos e indicaciones claras de conocimiento sofisticado de aplicaciones de misión crítica», se lee en el aviso. «La ventana de los defensores es significativamente más pequeña de lo que se pensaba anteriormente, con ejemplos de vulnerabilidades de SAP que se utilizan como arma en menos de 72 horas después del lanzamiento del parche y nuevas aplicaciones de SAP no seguras entregadas en entornos de nube (IaaS) descubiertas y comprometidas en menos de tres horas».

Fuente: Onapsis.

Los problemas son los siguientes:

  • CVE-2020-6287 es un problema crítico de omisión de autenticación en SAP NetWeaver Application Server Java que permite un control total de la cuenta;
  • CVE-2020-6207 es otro error crítico de omisión de autenticación en SAP Solution Manager;
  • CVE-2018-2380 es una falla de gravedad media en SAP CRM, que permite a un atacante aprovechar la validación insuficiente de la información de ruta proporcionada por el usuario;
  • CVE-2016-9563 también es un error de gravedad media, esta vez en SAP NetWeaver AS Java. Los usuarios autenticados de forma remota pueden aprovecharlo para realizar ataques de entidad externa XML (XXE), lo que les permite interferir con el procesamiento de XML;
  • CVE-2016-3976 es una vulnerabilidad transversal de directorio de alta gravedad en SAP NetWeaver AS Java que permite a atacantes remotos leer archivos arbitrarios;
  • Y CVE-2010-5326 es un problema crítico de 11 años en Invoker Servlet en SAP NetWeaver AS Java. No requiere autenticación, lo que permite a atacantes remotos ejecutar código arbitrario a través de una solicitud HTTP o HTTPS.

Use exploit – haga clic para ampliar. Fuente: Onapsis.

Después del inicio de sesión, Onapsis observó a los actores de amenazas que usaban vulnerabilidades para establecer la persistencia, la escalada de privilegios, la evasión y, en última instancia, el control completo de los sistemas SAP, incluidas las aplicaciones financieras, la gestión del capital humano y la cadena de suministro.

«Además, se han observado intentos de encadenar vulnerabilidades para lograr la escalada de privilegios de acceso a nivel del sistema operativo, expandiendo el impacto potencial más allá de los sistemas y aplicaciones de SAP», según el análisis.

Por ejemplo, Onapsis afirmó que un actor pudo escanear y crear un usuario administrador utilizando una utilidad de explotación para CVE-2020-6287. Después de crear con éxito el perfil e iniciar sesión, se realizaron más exploits contra CVE-2018-2380 para la carga de shell, ya que los atacantes intentaron acceder al nivel del sistema operativo. A continuación, se realizaron exploits para CVE-2016-3976, con el objetivo de descargar un «almacén de credenciales», que proporciona acceso a inicios de sesión altamente privilegiados y base de datos maestra. Es preocupante que todo esto sucedió en 90 minutos, según Onapsis.

Explotar el encadenamiento. Fuente: Onapsis.

Curiosamente, los atacantes cibernéticos en algunos casos están reparando vulnerabilidades explotadas después de obtener acceso al entorno de la víctima, dijo Onapsis.

«Esta acción ilustra el conocimiento de dominio avanzado de los actores de amenazas de aplicaciones de SAP, el acceso a los parches de los proveedores y su capacidad para reconfigurar estos sistemas», según la empresa. «Los actores de amenazas a menudo utilizan esta técnica para implementar puertas traseras en sistemas aparentemente parcheados para mantener la persistencia o para evadir la detección».

El negocio está siendo organizado por múltiples grupos, que parecen estar involucrados en actividades coordinadas en grandes áreas de infraestructura, según el aviso.

«Hacia adelante [are] Se ha detectado la activación de explotación desde sistemas de origen distintos a los utilizados para realizar inicios de sesión manuales posteriores, lo que indica la posibilidad de que grupos y / o actores coordinados estén explotando una infraestructura de ataque generalizada «, se lee». Aunque este comportamiento es común al analizar el sistema operativo y la red basados ​​en ataques, estos datos proporcionan evidencia de que el mismo enfoque también se usa cuando se apunta a aplicaciones de misión crítica, ya que estos actores usan nodos TOR e infraestructura VPS distribuida para lanzar ataques y aumentar los privilegios. «

El negocio proviene de todo el mundo, incluidos Hong Kong, India, Japón, Países Bajos, Singapur, Corea del Sur, Suecia, Taiwán, Estados Unidos, Vietnam y Yemen.

La forma principal de contrarrestar este tipo de ataque es corregir las vulnerabilidades. Además, cualquier cuenta de acceso web debe tener contraseñas únicas para evitar intentos de piratería automatizados por fuerza bruta; y cualquier sistema que no tenga que lidiar con la web pública debe desconectarse.

«Todas las debilidades críticas observadas explotadas fueron rápidamente resueltas por SAP y, en algunos casos, han estado disponibles para los clientes durante meses y años», señaló el aviso. «Desafortunadamente, tanto SAP como Onapsis continúan observando muchas organizaciones que aún no han aplicado las mitigaciones adecuadas … permitiendo que los sistemas SAP no seguros continúen funcionando y, en muchos casos, permanezcan visibles para los atacantes a través de Internet».

Además, la aplicación oportuna de parches de seguridad es fundamental para eliminar el riesgo de las vulnerabilidades clave conocidas de SAP. Sin embargo, Dunne de Pathlock señaló que los parches solo pueden remediar los problemas que se encuentran en la vista trasera. Con los ataques cibernéticos solucionando los errores detrás de ellos, también debe haber una forma de detectar la actividad maliciosa.

«Para un enfoque integral y con visión de futuro de la seguridad de SAP, las organizaciones deben implementar una solución integral para monitorear las actividades de los usuarios dentro del sistema, incluidas las interacciones con datos confidenciales», dijo a Threatpost. «De esta manera, incluso los atacantes que pueden violar los sistemas SAP a partir de vulnerabilidades conocidas o desconocidas aún pueden ser identificados y su daño puede mitigarse en tiempo real».

  • 21 de abril: (¡Obtenga más información y regístrese!)

.

No te olvides compartir en una historia de tu Instagram para que tus colegas lo consulten

??? ? ? ???

Comparte