Atacantes que buscan activamente, explotan vulnerables …



El análisis de la actividad de amenazas en entornos de misión crítica genera un aviso de CISA que insta a los clientes de SAP a aplicar los parches y actualizaciones de seguridad necesarios.

Los actores de amenazas están explotando activamente las vulnerabilidades no parcheadas en las aplicaciones de SAP, incluso en entornos de misión crítica como la planificación de recursos empresariales (ERP), la gestión de la cadena de suministro (SCM), la gestión del ciclo de vida del producto (PLM) y la gestión de relaciones con el cliente (CRM).

En algunos casos, los atacantes están desarrollando exploits para aplicaciones SAP alojadas en la nube recientemente vulnerables menos de 72 horas después de que la compañía haya lanzado parches para ellos, según un nuevo informe de Onapsis y SAP. A veces es solo cuestión de horas. Las víctimas de tales ataques corren un alto riesgo de pérdida de datos confidenciales, fraude financiero, interrupción del negocio, ransomware e incluso una interrupción operativa completa, señala el informe.

El informe, publicado el martes, se basa en un análisis de la actividad de amenazas dirigida a los entornos de SAP durante los últimos meses y desde mediados de 2020. Sus conclusiones provocaron una advertencia esta semana del Departamento de Seguridad Nacional. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), instando a los clientes de SAP a revisar el informe y aplicar parches de seguridad según sea necesario.

«Históricamente ha existido la creencia de que las aplicaciones de misión crítica no están siendo atacadas o que son lo suficientemente oscuras como para que la habilidad para explotarlas no esté generalizada», dice Mariano Nunez, CEO y cofundador de Onapsis.

Lo que muestra el análisis de amenazas es que los ciberdelincuentes no solo están atacando estas aplicaciones, sino que lo hacen con una habilidad, planificación y motivación considerables, dice.

«Esta investigación también valida que los actores de amenazas tienen los medios y la experiencia para identificar y explotar los sistemas SAP desprotegidos y están muy motivados para hacerlo», dice Nunez.

La investigación de la actividad de amenazas muestra que los atacantes están llevando a cabo activamente reconocimiento, operaciones de acceso inicial, persistencia, escalada de privilegios, evasión y comando y command de los sistemas SAP.

La articulación Estudio SAP y Onapsis es importante porque destaca la actividad de amenazas que rodea posiblemente al software package más ampliamente implementado en las empresas modernas. Alrededor del 92% de las empresas de la lista Forbes World 2000 se han estandarizado actualmente en las aplicaciones empresariales de SAP. Según el informe de Onapsis y SAP, más de 400.000 organizaciones de numerosas industrias, incluida la infraestructura crítica, utilizan actualmente SAP. Alrededor del 77% de los ingresos transaccionales del mundo están relacionados con las tecnologías de SAP.

Nunez dice que la investigación sobre las amenazas relacionadas con SAP fue impulsada por la observación de Onapsis de la actividad de explotación inmediatamente después del lanzamiento de un parche para una vulnerabilidad crítica en la tecnología SAP (CVE-2020-6287) en julio pasado. A las pocas horas del lanzamiento del parche, los actores de amenazas habían realizado ingeniería inversa del parche y se lanzaron públicamente múltiples exploits para la falla.

«Este fue el catalizador para que Onapsis lanzara una iniciativa de inteligencia de amenazas para comprender el nivel de actividad de amenazas específicas de SAP en la naturaleza», dice Nunez.

Los investigadores de la compañía observaron más de 300 exploits exitosos y más de 100 sesiones prácticas en el teclado posteriores al compromiso en las que los atacantes tenían como objetivo aplicaciones SAP. En muchos de estos ataques, los actores de amenazas mostraron un conocimiento sizeable del entorno de SAP al que se dirigían. En un caso, Onapsis encontró evidencia de que un atacante parcheaba una vulnerabilidad después de explotarla como parte de un esfuerzo por mantener la persistencia en el sistema comprometido. En otro caso, un sistema SAP vulnerable se vio comprometido en menos de tres horas después de haber sido expuesto a Net.

«En un caso, vimos a un atacante que se conectaba desde cinco direcciones IP diferentes con geolocalización en cuatro países diferentes ingresando de forma remota y accediendo a pedidos de ventas y datos sensibles de recursos humanos (PII), lo que sería una violación directa del GDPR», dice Núñez.

Los investigadores de Onapsis también observaron a los actores de amenazas encadenar múltiples y diferentes vulnerabilidades específicas de SAP durante la fase de compromiso y escalada de privilegios.

Gran parte de la actividad observada involucró seis vulnerabilidades en certain y un problema de configuración, todas las cuales SAP ya había parcheado o para las cuales había brindado consejos de configuración. Las seis vulnerabilidades que Onapsis observó que estaban siendo explotadas fueron CVE-2020-6287, CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 y CVE-2010-5326.

Dos de ellos (CVE-2020-6287 y CVE-2020-6207) tienen una gravedad máxima de 10 porque son ejecutables de forma remota y pueden causar daños considerables. Una de las fallas permite a los atacantes crear usuarios de SAP a nivel de aplicación con altos privilegios, y la otra puede usarse para comprometer por completo la aplicación de SAP objetivo y las aplicaciones de SAP conectadas también, señala Nunez.

El CISO de SAP, Richard Puckett, dice que la gravedad y el alcance de la actividad de amenaza descubierta es lo que llevó a Onapsis y SAP a solicitar de manera proactiva a CSI que lanzara una alerta coordinada para pedir a los usuarios de SAP que aplicaran los parches actuales para sus aplicaciones de SAP.

«Existe un espectro de problemas operativos en juego que impactan el rendimiento de la aplicación de parches en un entorno de cliente determinado, y estamos tratando de tenerlos en cuenta con lo que estamos aprendiendo de nuestra investigación de amenazas hasta la fecha», dice Puckett.

Las organizaciones están parcheando las vulnerabilidades de SAP más rápido que antes, dice. Pero incluso con estas mejoras, sigue siendo importante que los clientes cuenten con mecanismos de detección y supervisión para detectar exploits exitosos en el intervalo de tiempo entre el momento en que un parche está disponible y el momento en que se implementa.

Si bien algunas organizaciones se apresuran a parchear los sistemas SAP, otras pueden demorarse años en parches y configuraciones seguras, dice Nunez. Un problema es que, históricamente, la tarea de aplicar parches a las aplicaciones de misión crítica en common y a los sistemas SAP en unique compitió con otras prioridades comerciales, dice.

«Si bien la responsabilidad de aplicar el parche recae en el equipo de administración de SAP, a menudo los equipos de seguridad de la información no siempre poseen una visibilidad complete en términos de los riesgos inherentes a estos sistemas», dice Nunez. «La estrategia clave implementada por la mayoría de las organizaciones en la actualidad es implementar el monitoreo de amenazas para la explotación y la actividad del usuario con el fin de servir como controles de compensación durante las iniciativas de remediación».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original