东方时讯网其中一个漏洞的风险评分为10,允许攻击者对SAP用户执行严重的恶意活动。这些补丁是该公司发布的关于一系列安全问题的一组19份安全说明的一部分。其中三个漏洞与log4j相关,CVSS为10。
ICM是在SAP系统中启用HTTP(S)通信的SAP组件。两家公司解释说,由于ICM在设计上暴露在互联网和不受信任的网络中,因此该组件中的漏洞具有更高的风险级别。
Onapsis的首席技术官JPPerez-Etchegoyen告诉ZDNet,攻击者可以通过一个请求窃取每个受害者会话和明文凭证,并修改应用程序的行为。
Perez-Etchegoyen说:“攻击者可以很容易地利用这些漏洞,因为它不需要事先身份验证、没有必要的先决条件,并且可以通过HTTP(S)发送有效负载。”
SAP发布了两个关于这些问题的安全说明,网络安全和基础设施安全局(CISA)也发布了自己的通知,敦促客户实施补丁。
Onapsis首席执行官兼联合创始人MarianoNunez表示:“这些漏洞可以通过互联网被利用,而无需攻击者在目标系统中进行身份验证,这使得它们非常关键。”
他继续解释说,在发现SAP问题之前,Onapsis研究实验室在去年一直在调查HTTP走私问题。
根据Onapsis的说法,威胁参与者可以利用这些HTTP走私技术发送恶意负载,并通过与有效消息无法区分的HTTP请求成功利用SAPJava或ABAP系统。Onapsis补充说,这些漏洞可以通过互联网和预身份验证在受影响的系统中被利用,这意味着它们无法通过多因素身份验证控制来缓解。
“SAP已与Onapsis合作,为我们的全球客户群维护安全的解决方案,”SAP首席信息安全官RichardPuckett说。“通过与Onapsis等主要合作伙伴的合作,SAP可以为我们的客户提供最安全的环境。我们强烈鼓励所有SAP客户尽快应用相关的SAP安全补丁来保护他们的业务。”
SAP表示,它不知道威胁行为者利用该漏洞导致的任何数据泄露,但敦促客户应用安全说明。
Onapsis发布了一款免费工具,SAP客户可以使用该工具扫描其系统中受影响的应用程序。
Vectra副总裁AaronTurner表示,我们在2021年3月从针对本地Exchange服务器的铪攻击中了解到的情况正在SAP生态系统中重播。
“SAP服务器是极其丰富的目标,可以访问重要的业务流程,并且通常在这些服务器上存储和使用多个特权凭据。通过Onapsis研究,他们发现了一个利用路径,允许攻击者访问这些特权凭据以进行攻击。在本地网络内横向移动并转向云,因为大多数SAP客户已将其遗留SAP工作负载与基于云的工作负载联合起来,”Turner说。
“正如Hafnium允许攻击者从本地Exchange转移到M365一样,这个SAP攻击路径也可能允许同样的事情发生。SAP安全更新将是安装的关键更新,不仅可以保护那些本地SAP服务器,还可以保护任何系统,本地或云,可能与这些服务器共享凭据或信任关系。”