根据black Hat Europe 2024的研究,长期以来被视为不透明的黑匣子,攻击者越来越关注从SAP入侵企业系统。
Onapsis的高级安全研究员Yvan Genuer周五在黑帽公司提交了对四年威胁情报数据的回顾,报告称,2020年黑客对从SAP入侵企业资源规划(ERP)系统的兴趣激增,一直持续到2023年底。
根据这家企业软件公司的数据,福布斯全球2000强榜单中绝大多数(87%)的全球最大公司使用SAP,该技术处理了全球77%的交易收入。
专注于ERP的网络安全公司Onapsis和威胁情报研究合作伙伴Flashpoint分析了犯罪论坛、勒索软件事件、聊天网站和勒索软件群网站上的活动。
包括网络犯罪组织(FIN13“大象甲虫”、俄罗斯网络犯罪组织FIN7和Cobalt Spider)、网络间谍组织(中国的APT10)和脚本小子在内的各种团体都在积极针对SAP相关漏洞。
基于SAP的系统所持有的大量数据使其成为网络间谍组织的目标,而大量交易则吸引了以营利为目的的网络犯罪分子的兴趣。
犯罪集团正在出售SAP漏洞
CVE-2020-6287(RECON)和CVE-2020-6207(SAP Solution Manager缺少身份验证)漏洞引发了关于如何最好地利用SAP系统的讨论。
Onapsis举了一个例子,2020年8月,SAP Secure Storage上的一个所谓漏洞以25000美元的价格出售。2020年9月,买家提出为SAP NetWeaver预身份验证远程代码执行或身份验证绕过漏洞支付50000美元。后来的帖子为针对SAP系统的工作漏洞提供了高达25万美元的奖励。
Onapsis的数据显示,从2021年到2023年,网络犯罪论坛上关于SAP特定云和Web服务的活跃讨论增加了220%。
网络犯罪分子经常在这些论坛上讨论如何利用SAP漏洞的细节,并交流如何从SAP漏洞中获利的技巧和窍门,以及如何对潜在受害者进行攻击。
与此同时,自2021年以来,涉及SAP系统的勒索软件事件增加了五倍(400%)。未修补的SAP漏洞也被利用并用于勒索软件活动。
Onapsis表示,公开批评漏洞已有四年历史,因此它们正在失去效力,因此威胁行为者热衷于获得“新”武器。SAP应用程序中公开披露的漏洞,如CVE-2021-38163和CVE-2022-2536等,也成为攻击目标。
黑客正在享用已解决但未修补的漏洞
许多攻击利用了SAP系统中已知但未修补的漏洞。
Onapsis表示,不同群体对SAP零日(未修补漏洞)的需求只会增长,因为它们代表了潜在的巨大投资回报。Onapsis的Genuer警告说:“SAP不再是一个黑匣子——将SAP应用程序视为目标。”他补充说,不仅互联网暴露的系统遭到黑客攻击。
Onapsis得出结论,SAP系统的复杂性及其与更广泛业务流程的集成带来了独特的安全挑战。它建议,企业需要优先考虑定期补丁管理、漏洞评估和采用先进的威胁情报实践,以领先于潜在威胁。
独立的第三方专家同意Oanapis的结论,即基于SAP的系统已成为攻击者越来越感兴趣的焦点。
ReliaQuest高级网络威胁情报分析师Chris Morgan表示:“SAP系统是攻击者的主要目标,因为它们在管理大型企业的核心运营、存储金融交易、知识产权和个人信息等敏感数据方面发挥着关键作用。”。“开发一个可以解密安全存储并促进SAP系统内横向移动的漏洞表明了高水平的技术专长和努力,从而证明了高昂的价格是合理的。”
例如,ReliaQuest发现了一个针对SAP系统的漏洞,该漏洞在一个著名的网络犯罪论坛上以近25000美元(以比特币支付)的价格发布,最初于2020年8月上市。
据称,该漏洞有助于目标系统内的横向移动。ReliaQuest表示:“该帖子声称,该漏洞可以使用SAP Secure Storage来发现凭据、提升权限,并最终危及初始目标之外的其他SAP系统。”。
SAP Secure Storage对于在SAP环境中管理敏感数据和凭据至关重要,因此任何利用SAP系统进行攻击的行为对于寻求未经授权访问或提升权限的人来说都是非常有价值的。
安固软件作为一款功能强大的加密工具软件,可以帮助企业实现所有场景下的数据加密,确保企业数据的安全性和保密性。随着信息技术的不断发展,安固软加密软件将继续发挥其优异的性能和全面的功能,为企业提供更加安全可靠的数据加密保护
