Le vulnerabilità SAP più comuni che gli aggressori tentano di sfruttare
Le vulnerabilità senza patch, le configurazioni errate e i difetti nascosti nel codice personalizzato continuano a rendere le applicazioni SAP aziendali un ambiente ricco di bersagli per gli aggressori in un momento in cui minacce come ransomware e furto di credenziali sono emerse come principali preoccupazioni per le organizzazioni.
Uno studio condotto da Onapsis lo scorso anno in collaborazione con SAP ha rilevato che gli aggressori prendono continuamente di mira le vulnerabilità in una vasta gamma di applicazioni SAP tra cui ERP, gestione della supply chain, gestione del ciclo di vita del prodotto e gestione delle relazioni con i clienti. La scansione attiva per le porte SAP è aumentata dal 2020 tra gli aggressori che cercano di sfruttare vulnerabilità note, in particolare alcune CVE (Common Vulnerabilities and Exposures) altamente critiche.
Lo studio ha dimostrato che spesso gli aggressori dispongono di codice proof-of-concept per le vulnerabilità appena divulgate in appena 24 ore dopo la divulgazione iniziale, oltre a exploit pienamente funzionanti in meno di tre giorni. Onapsis ha osservato anche che gli aggressori trovano e attaccano nuovi sistemi SAP ospitati nel cloud in appena tre ore.
Tuttavia, molte organizzazioni continuano a lasciare le applicazioni SAP senza patch o non riescono ad applicare gli aggiornamenti consigliati per mesi, e talvolta anche anni, a causa delle preoccupazioni per le interruzioni del business e delle applicazioni. Un rapporto di Pathlock all’inizio di quest’anno, basato su un sondaggio condotto su 346 membri della comunità di utenti SAPinsider, ha mostrato che il 47% degli intervistati ha classificato le patch come la loro più grande sfida dietro il solo rilevamento delle minacce.
“Con oltre 1100 vulnerabilità SAP note, le organizzazioni continuano a faticare nel dare priorità a quale di queste presenti il rischio maggiore per il loro ambiente specifico” afferma Piyush Pandey, CEO di Pathlock. La sicurezza del codice personalizzato si è classificata come la seconda più grande preoccupazione dopo l’applicazione delle patch, con il 40% che lo identifica come un problema molto serio. Il sondaggio di Pathlock ha rilevato che molte organizzazioni hanno dozzine o addirittura centinaia di sistemi SAP in atto, cosa che rende le patch difficili e dispendiose in termini di tempo, soprattutto perché queste stesse organizzazioni cercano di evitare interruzioni e malfunzionamenti delle app.
Questa tendenza ha lasciato molte organizzazioni esposte ad attacchi che potrebbero causare furti di dati, frodi finanziarie, interruzioni delle applicazioni mission-critical, interruzioni del sistema e altre conseguenze negative. “I sistemi SAP sono obiettivi di alto valore per gli hacker, in quanto sono al centro delle operazioni aziendali mission-critical e contengono grandi quantità di dati sensibili e riservati”, afferma Saeed Abbasi, principal security engineer di Qualys. “Gli attacchi portati a termine con successo possono avere un impatto devastante e distruttivo per le aziende coinvolte”.
Ecco le vulnerabilità più comunemente prese di mira negli ambienti applicativi SAP.
Vulnerabilità SAP senza patch
Come tutti i fornitori di software, SAP pubblica aggiornamenti regolari per affrontare nuove vulnerabilità e altri rischi per la sicurezza nelle sue applicazioni. Finora quest’anno, SAP ha divulgato 196 SAP Security Notes contenenti tali aggiornamenti, che è già più del totale di 185 aggiornamenti che la società ha divulgato in tutto il 2021. Almeno una parte dell’aumento sembra avere a che fare con un numero maggiore del solito di patch che SAP ha dovuto rilasciare a gennaio a causa della vulnerabilità Log4Shell nel framework di registrazione Apache Log4j.
Molte di queste vulnerabilità sono critiche e consentono agli aggressori di fare diverse cose come ottenere l’accesso a livello di applicazione o sistema operativo, aumentare i privilegi o eseguire compromessi cross-system. “Basta aprire qualsiasi database di vulnerabilità e ne vedrete oltre 50 recenti di SAP con un punteggio CVSS superiore a 9″, afferma Ivan Mans, CTO e co-fondatore di SecurityBridge. Finora quest’anno, ci sono state 17 Security Notes SAP critiche con una gravità superiore a 9,8, valore vicino al rating massimo di 10. “Ciò che pensavamo fosse sicuro l’anno scorso potrebbe non esserlo più oggi”.
Onapsis e SAP hanno trovato sei delle vulnerabilità che gli aggressori hanno preso di mira pesantemente nel corso degli anni: CVE-2020-6287; CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 e CVE-2010-5326. Tutte hanno exploit disponibili pubblicamente, in genere su GitHub. JP Perez-Etchegoyen, CTO di Onapsis, ha classificato due delle vulnerabilità in quell’elenco tra le tre vulnerabilità più critiche nelle applicazioni SAP: CVE-2020-6287 e CVE-2010-5326. Un’altra vulnerabilità che considera altamente critica è quella che SAP ha divulgato quest’anno: CVE-2022-22536.
- CVE-2020-6287, nota anche come RECON, è una vulnerabilità critica in SAP NetWeaver Application Server Java che consente a un utente malintenzionato remoto non autenticato di assumere il controllo completo delle applicazioni SAP interessate. La minaccia, che include la possibilità per l’utente malintenzionato di creare un account amministrativo con i privilegi più elevati, ha spinto CISA a emettere un avviso raccomandando l’applicazione immediata di patch
- CVE-2010-5326 è una vulnerabilità nella funzione Invoker Servlet in SAP NetWeaver Application Server divulgata per la prima volta (e patchata) nel 2010. Consente agli attori delle minacce non autenticati di eseguire comandi a livello di sistema operativo e assumere il controllo delle applicazioni e del database sottostante. SAP ha corretto la vulnerabilità nel 2010, ma l’attività di exploit continua anche ora perché molti sistemi sono ancora privi di patch .
- CVE-2022-22536 è una vulnerabilità critica in SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java e altri prodotti. Consente a un utente malintenzionato remoto non autenticato di assumere completamente il controllo dei sistemi interessati.
Le quattro vulnerabilità rimanenti sono:
- CVE-2018-2380 è una vulnerabilità di media gravità in più versioni di SAP CRM che gli aggressori utilizzano attivamente per eliminare le shell Web SAP per le iniezioni di comandi del sistema operativo.
- CVE-2020-6207 è una vulnerabilità relativa all’autenticazione che gli aggressori utilizzano nelle compromissioni tra sistemi.
- CVE-2016-9563 è una vulnerabilità del 2016 che influisce su un componente SAP NetWeaver AS JAVA 7.5. È una delle vulnerabilità che gli aggressori stanno concatenando con RECON per aumentare i privilegi sul sistema operativo dei server SAP.
- CVE-2016-3976 è una vulnerabilità legata alle directory in SAP NetWeaver AS Java da 7.1 a 7.5 che gli aggressori utilizzano per esfiltrare le credenziali dai server SAP NetWeaver.
“Un buon modo per comprendere le vulnerabilità più critiche è misurarle, non solo in base alla metrica Common Vulnerability Scoring System, ma anche in base a quanto sono sfruttate”, afferma Perez-Etchegoyen. Per questo si raccomanda alle organizzazioni di tenere traccia del catalogo delle vulnerabilità sfruttate della CISA. Attualmente, dieci vulnerabilità che interessano SAP sono in quel catalogo. “Tutti queste dieci sono state e vengono sfruttate per compromettere le applicazioni SAP”.
Errori di configurazione SAP
Le migliaia di modi diversi in cui le impostazioni delle applicazioni SAP possono essere configurate e modificate per soddisfare nuovi requisiti spesso portano le organizzazioni a configurare i propri ambienti SAP in modo vulnerabile. La differenza tra i problemi di sicurezza relativi a una patch e una configurazione è che nella maggior parte dei casi quando viene applicata una patch il rischio è scomparso. Le configurazioni, invece, continuano a cambiare.
I problemi di configurazione SAP più comuni includono elenchi di controllo di accesso (ACL) mal configurati e l’uso di combinazioni di nome utente e password deboli, predefinite o ben note. Mans di SecurityBridge indica anche SAPRouter obsoleto o mal configurato, SAP Web Dispatcher, Internet Communication Manager e SAP Gateway come problemi per le organizzazioni aziendali. Altri includono servizi esposti pubblicamente a cui è possibile accedere senza nemmeno richiedere l’autenticazione, l’accesso non protetto o non sufficientemente protetto ai servizi di amministrazione e la comunicazione non crittografata.
Lo studio Onapsis/SAP ha dimostrato che, sebbene SAP abbia fornito indicazioni dettagliate su come proteggere l’accesso agli account privilegiati, molte organizzazioni eseguono applicazioni SAP dove account con privilegi elevati sono configurati con password predefinite o deboli. Lo studio ha rilevato anche che gli aggressori utilizzano frequentemente attacchi di forza bruta per entrare negli account SAP, SAPCPIC, TMSADM e CTB_ADMIN.
Una serie di exploit collettivamente denominati 10KBlaze che è stato rilasciato pubblicamente nel 2019 ha reso evidente il rischio che le organizzazioni affrontano con configurazioni non sicure. Gli exploit hanno preso di mira errori di configurazione comuni in SAP Gateway e SAP Message Server e hanno messo circa il 90% delle applicazioni SAP in oltre 50.000 organizzazioni in tutto il mondo a rischio di compromissione completa.
Vulnerabilità nel codice SAP personalizzato
Molte organizzazioni sviluppano regolarmente codice personalizzato esteso per le loro applicazioni SAP per personalizzarle o per soddisfare i requisiti di conformità e per altri motivi. “Le organizzazioni spesso personalizzano SAP per soddisfare esigenze aziendali specifiche”, afferma Pandey di Pathlock. “Gli esempi includono layout e tabelle personalizzati.” Questo codice “custom” dovrebbe essere regolarmente revisionato per le vulnerabilità che potrebbero esporre il sistema SAP ad attacchi o abusi.
SAP identifica anche altri problemi che possono insinuarsi nel codice personalizzato e mettere a rischio le applicazioni SAP. Questi includono potenziali problemi di reindirizzamento degli URL e controllo del contenuto mancante durante i caricamenti HTTP. Le vulnerabilità nel codice open source e di terze parti che un team di sviluppo potrebbe utilizzare durante la scrittura di codice personalizzato sono un altro problema. Ad esempio, Mans indica la vulnerabilità di Log4Shell in Log4j. “Anche se non si tratta direttamente di una vulnerabilità SAP, le applicazioni SAP o le applicazioni personalizzate eseguite su SAP potrebbero essere interessate e richiedono un aggiornamento”.
Il punto è che le vulnerabilità della sicurezza in SAP possono assumere molte forme, afferma Pandey. “Si verificano dal lato del fornitore, ma c’è anche la responsabilità del cliente stesso di assicurarsi di aver configurato e personalizzato la distribuzione per consentire la sicurezza”. Le organizzazioni devono capire che i rischi per l’ambiente SAP possono provenire sia da attori esterni che da addetti ai lavori, conclude Perez-Etchegoyen. “Ci sono molteplici rischi critici in ogni area e la principale differenza tra essi è che le vulnerabilità nel software e nelle configurazioni sono ben note dagli attori delle minacce e vengono attualmente utilizzate per compromettere le applicazioni SAP”.