Gyorsan lecsapnak az SAP hibáira a hackerek

A kiberbűnözők jóval gyorsabban reagálnak az SAP alkalmazásaiban felfedezett sebezhetőségekre, mint azt eddig sejteni lehetett.
 

Az SAP és az Onapsis egy közös kutatást végzett annak érdekében, hogy tiszta képet kaphassanak az SAP alkalmazásait sújtó kibertámadásokról. A felmérést 2020 közepétől végezték a kutatók, és elsősorban azt vizsgálták, hogy egy-egy napvilágra került sérülékenységet milyen módon, milyen célokkal és milyen gyorsan képesek kihasználni a feketekalapos hackerek.
 
Mivel az SAP szoftverei széles körben használatosak vállalati és intézményi berkekben, ezért ezeket kiemelt célpontként kezelik a kiberbűnözők. Ha ugyanis egy ilyen rendszert sikerül meghackelniük, akkor azzal értékes, jelentős mennyiségű adatot tudnak kiszivárogtatni, illetve olyan károkozásokat hajthatnak végre, amivel megbéníthatják a célkeresztbe állított szervezetek működését.
 
A Onapsis szerint az elemzések arra mutatnak rá, hogy a legfontosabb feladatok egyike kétségkívül az SAP által kiadott patch-ek minél előbbi telepítése lenne. Ezek ugyanis gyakorta maradnak el, vagy csak késve kerülnek fel az érintett rendszerekre, miközben a támadók minden korábbinál gyorsabban reagálnak egy-egy nyilvánosságra került biztonsági résre. A felmérés szerint általában a hibák napvilágra kerülését követő 48 órán belül elkezdődik a sebezhető célpontok felderítése, majd 24 órán belül a biztonsági rések kihasználására irányuló tevékenységek is elindulnak. Sok esetben nem egy sérülékenységen keresztül hajtják végre a támadásaikat a kiberbűnözők, hanem több ismert hiba révén igyekeznek elérni a céljukat.
 
A valamivel több mint féléves vizsgálódás során az Onapsis több mint 300 olyan sikeres támadásról értesült, amelyek valamilyen SAP-sebezhetőséget használtak ki. Ezek során az elkövetők legtöbbször adatszivárogtatási célokkal hajtották végre az akcióikat, és nem egy esetben konfigurációs beállítások manipulálásával, valamint felhasználói fiókok kompromittálásával is próbálkoztak. Gyakori jelenség a brute force típusú megközelítés is, amelyek során kiemelt jogosultságokkal rendelkező fiókokhoz próbálnak hozzáférni az elkövetők.
 
A vizsgált időszakban az alábbi sebezhetőségek voltak a legfelkapottabbak a támadók körében:
CVE-2020-6287 (RECON)
CVE-2020-6207
CVE-2018-2380
CVE-2016-9563
CVE-2016-3976
CVE-2010-5326
 
A fentiekből látható, hogy a támadók nem kizárólag a legújabb sebezhetőségekre vetik rá magukat, hanem akár évek óta ismert hibákra is. Sajnos még így is sokszor érik el céljukat, mivel a patch-elések gyakorta maradnak el. Nyilván ennek az is az oka, hogy a hibajavítások telepítése ilyen környezetekben nem éppen egyszerű feladat, és sok esetben az előzetes teszteléseket sem lehet megúszni. Ennek ellenére az SAP és az Onapsis is azt javasolja, hogy a kiadott patch-ek a lehető leghamarabb kerüljenek fel az érintett rendszerekre.