Los atacantes cibernéticos están fijando activamente sus miras en aplicaciones SAP no seguras en un intento de robar información y sabotear procesos críticos, según una nueva investigación. “La explotación observada podría conducir en muchos casos a un control total de la aplicación SAP no segura, evitando los controles comunes de seguridad y cumplimiento y permitiendo […]
Los atacantes cibernéticos están fijando activamente sus miras en aplicaciones SAP no seguras en un intento de robar información y sabotear procesos críticos, según una nueva investigación.
“La explotación observada podría conducir en muchos casos a un control total de la aplicación SAP no segura, evitando los controles comunes de seguridad y cumplimiento y permitiendo a los atacantes robar información confidencial, realizar fraudes financieros o interrumpir los procesos comerciales de misión crítica mediante la implementación de ransomware o la detención de operaciones”, fue lo indicado por la firma de ciberseguridad Onapsis y SAP en un informe conjunto publicado hoy.
La compañía con sede en Boston dijo que detectó más de 300 explotaciones exitosas de un total de 1,500 intentos dirigidos a vulnerabilidades previamente conocidas y configuraciones inseguras específicas de los sistemas SAP entre mediados de 2020 y marzo de 2021, con múltiples intentos de fuerza bruta realizados por adversarios dirigidos a altas -privilegiar las cuentas de SAP y encadenar varias fallas para atacar las aplicaciones de SAP.
Las aplicaciones que se han dirigido incluyen, entre otras, la planificación de recursos empresariales (ERP), la gestión de la cadena de suministro (SCM), la gestión del capital humano (HCM), la gestión del ciclo de vida del producto (PLM), la gestión de las relaciones con el cliente (CRM) y otras.
De manera preocupante, el informe de Onapsis describe el armamentismo de las vulnerabilidades de SAP en menos de 72 horas desde el lanzamiento de los parches, con nuevas aplicaciones de SAP no protegidas aprovisionadas en entornos de nube que se descubren y ponen en peligro en menos de 3 horas.
Los vectores de ataque no fueron menos sofisticados. Se descubrió que los adversarios adoptaron un conjunto variado de técnicas, herramientas y procedimientos para obtener acceso inicial, escalar privilegios, eliminar shells web para la ejecución de comandos arbitrarios, crear usuarios administradores de SAP con altos privilegios e incluso extraer credenciales de base de datos. Los propios ataques se lanzaron con la ayuda de nodos TOR y servidores privados virtuales distribuidos (VPS).
Las seis fallas explotadas por los actores de amenazas incluyen:
Disfrazado como una aplicación maliciosa de Netflix bajo el nombre de “FlixOnline”, el malware viene con características que le permiten responder automáticamente a los mensajes entrantes de WhatsApp de la víctima con una carga útil recibida de un servidor de comando y control (C&C).