SAP警告駭客正在攻擊本地部署系統已知漏洞

2021-04-07


基於針對性攻擊行動現身,美國網路安全暨基礎架構安全署(CISA)呼籲SAP用戶修補6項SAP已知漏洞及做好安全組態,並執行入侵評估檢查。

SAP與安全公司Onapsis周二發出聯合安全公告,警告SAP之前已經修補的漏洞,近日分別發生自動化惡意程式及人為操作的攻擊,影響企業自行維護或外部代管的SAP系統。
SAP和Onapsis觀察到網路上有300多件自動化程式,利用7種攻擊管道針對未修補的SAP系統發動攻擊,以及100多道人為操作的連線活動,後者涉及多個駭客組織。安全廠商警告,證據顯示駭客具備高階的領域知識(domain knowledge),包括能在攻擊後安裝SAP修補程式。
7個攻擊管道涉及6項SAP舊有漏洞,包括CVE-2016-3976、CVE-2020-6287(NetWeaver)、CVE-2020-6207,CVE-2010-5326、CVE-2016-9563、CVE-2018-2380以及暴力破解密碼,使攻擊者得以存取或攻擊SAP應用。其中,CVE-2010-5326、CVE-2016-9563,以及CVE-2018-2380,可讓駭客得以在OS層執行惡意程式,而CVE-2016-3976和CVE-2020-6207則可造成攻擊者橫向移動到其他主機。
成功開採漏洞可能導致駭客接管SAP應用程式,繞過一般的安全控制,竊取重要資料、發動勒索軟體攻擊,擾亂甚至中斷系統運作,或直接勒索金錢。
這些攻擊影響本地部署或由第三方業者代管SAP系統的客戶,但由SAP代管的雲端應用則不受影響。此外,SAP本身的IT系統也安然無恙。所有遭到鎖定的SAP漏洞都已經有修補程式。
Onapsis還發現,在SAP釋出修補程式72小時內即已被鎖定,此外,未修補的SAP雲端應用在IaaS上線不到3小時就被駭入。
不過SAP和Onapsis又表示,目前尚未發現有任何已知的客戶資料外洩與之「直接相關」,但是他們發現仍有許多企業尚未修補。
SAP和Onapsis也和美國國土安全部、網路安全暨基礎架構安全署(CISA)、德國聯邦網路安全管理署合作發出公告,呼籲企業用戶應立即行動,安裝修補程式及做好安全組態,並執行入侵評估檢查。
 

文章內容轉載自 https://www.ithome.com.tw/news/143685