Las aplicaciones SAP de misión crítica están bajo ataque activo

Los atacantes cibernéticos están fijando activamente sus miras en aplicaciones SAP no seguras en un intento de robar información y sabotear procesos críticos, según una nueva investigación.

«La explotación observada podría conducir en muchos casos a un control total de la aplicación SAP no segura, evitando los controles comunes de seguridad y cumplimiento y permitiendo a los atacantes robar información confidencial, realizar fraudes financieros o interrumpir los procesos comerciales de misión crítica mediante la implementación de ransomware o la detención de operaciones», fue lo indicado por la firma de ciberseguridad Onapsis y SAP  en un informe conjunto publicado hoy.

La compañía con sede en Boston dijo que detectó más de 300 explotaciones exitosas de un total de 1,500 intentos dirigidos a vulnerabilidades previamente conocidas y configuraciones inseguras específicas de los sistemas SAP entre mediados de 2020 y marzo de 2021, con múltiples intentos de fuerza bruta realizados por adversarios dirigidos a altas -privilegiar las cuentas de SAP y encadenar varias fallas para atacar las aplicaciones de SAP.

Las aplicaciones que se han dirigido incluyen, entre otras, la planificación de recursos empresariales (ERP), la gestión de la cadena de suministro (SCM), la gestión del capital humano (HCM), la gestión del ciclo de vida del producto (PLM), la gestión de las relaciones con el cliente (CRM) y otras.

De manera preocupante, el informe de Onapsis describe el armamentismo de las vulnerabilidades de SAP en menos de 72 horas desde el lanzamiento de los parches, con nuevas aplicaciones de SAP no protegidas aprovisionadas en entornos de nube que se descubren y ponen en peligro en menos de 3 horas.

Los vectores de ataque no fueron menos sofisticados. Se descubrió que los adversarios adoptaron un conjunto variado de técnicas, herramientas y procedimientos para obtener acceso inicial, escalar privilegios, eliminar shells web para la ejecución de comandos arbitrarios, crear usuarios administradores de SAP con altos privilegios e incluso extraer credenciales de base de datos. Los propios ataques se lanzaron con la ayuda de nodos TOR y servidores privados virtuales distribuidos (VPS).

Las seis fallas explotadas por los actores de amenazas incluyen:

  • CVE-2010-5326 (puntuación CVSS: 10) – Defecto de ejecución de código remoto en SAP NetWeaver Application Server (AS) Java
  • CVE-2016-3976 (puntuación CVSS: 7,5): vulnerabilidad de recorrido de directorio en SAP NetWeaver AS Java
  • CVE-2016-9563 (puntuación CVSS: 6,4):vulnerabilidad de expansión deentidad externa XML ( XXE ) en el componente BC-BMT-BPM-DSK de SAP NetWeaver AS Java
  • CVE-2018-2380 (puntuación CVSS: 6,6): vulnerabilidad de recorrido de directorio en el componente de ventas por Internet en SAP CRM
  • CVE-2020-6207 (puntuación CVSS: 9,8): comprobación de autenticación faltante en SAP Solution Manager
  • CVE-2020-6287 (puntuación CVSS: 10) – Fallo de RECON (también conocido como código explotable de forma remota en NetWeaver) en el componente del asistente de configuración de LM