خلل حرج يسمح باختراق أنظمة SAP بسهولة

يجب على مستخدمي SAP نشر التصحيح الذي تم إصداره حديثًا للثغرة الحرجة التي قد تسمح للمتسللين باختراق أنظمتهم والبيانات التي يحتويونها. يوجد الخلل في مكون أساسي موجود افتراضيًا في معظم عمليات نشر SAP ويمكن استغلاله عن بُعد دون الحاجة إلى اسم مستخدم وكلمة مرور.

يقدر باحثون من شركة Onapsis الأمنية الذين اكتشفوا وأبلغوا عن الثغرة الأمنية أن 40.000 من عملاء SAP حول العالم قد يتأثرون. يتعرض أكثر من 2500 نظام SAP معرض للخطر مباشرة للإنترنت ، كما أنهم أكثر عرضة لخطر الاختراق ، ولكن المهاجمين الذين يمكنهم الوصول إلى الشبكات المحلية يمكن أن يضروا بعمليات النشر الأخرى.

ما هو تأثير ثغرة SAP؟

يتم تتبع الثغرة الأمنية على أنها CVE-2020-6287 وهي موجودة في SAP NetWeaver Application Server Java ، وهي مجموعة البرامج التي تقوم عليها معظم تطبيقات SAP المؤسسية. تتأثر الإصدارات 7.30 إلى 7.50 من NetWeaver Java – بما في ذلك أحدثها – وجميع حزم الدعم (SPs) التي أصدرتها SAP.

الثغرة ، والتي أطلق عليها أيضًا RECON (رمز قابل للاستغلال عن بُعد على NetWeaver) ، لديها أعلى درجة خطورة ممكنة (10) في نظام تسجيل نقاط الضعف الشائعة (CVSS) لأنه يمكن استغلاله عبر HTTP بدون مصادقة ويمكن أن يؤدي إلى كامل حل وسط للنظام. يسمح الخلل للمهاجمين بإنشاء مستخدم جديد له دور إداري ، متجاوزًا ضوابط الوصول الحالية والفصل بين الواجبات.

وحذر Onapsis في إحدى النصائح من أن “الوصول الإداري إلى النظام سيسمح للمهاجم بإدارة (قراءة / تعديل / حذف) كل سجل أو ملف قاعدة بيانات في النظام”. “نظرًا لنوع الوصول غير المقيد الذي سيحصل عليه المهاجم من خلال استغلال الأنظمة غير المحسنة ، قد تشكل هذه الثغرة أيضًا نقصًا في ضوابط تكنولوجيا المعلومات الخاصة بالمؤسسة فيما يتعلق بالولايات التنظيمية – مما قد يؤثر على الامتثال المالي (Sarbanes-Oxley) والامتثال للخصوصية (GDPR).”

تؤدي الثغرة الأمنية إلى فتح المنظمات لأنواع مختلفة من الهجمات. يمكن أن يستخدمه المتسللون لسرقة معلومات تحديد الهوية الشخصية (PII) الخاصة بالموظفين والعملاء والموردين ؛ قراءة السجلات المالية أو تعديلها أو حذفها ؛ تغيير التفاصيل المصرفية لتحويل المدفوعات وتعديل عمليات الشراء ؛ بيانات فاسدة أو تعطيل تشغيل الخسائر المالية للنظم بسبب توقف العمل. يسمح الخلل أيضًا للمهاجمين بإخفاء مساراتهم عن طريق حذف السجلات وتنفيذ الأوامر على نظام التشغيل بامتيازات تطبيق SAP.

تشمل تطبيقات SAP المتأثرة SAP S / 4HANA Java و SAP Enterprise Resource Planning (ERP) و SAP Supply Chain Management (SCM) و SAP CRM (Java Stack) و SAP Enterprise Portal و SAP HR Portal و SAP Solution Manager (SolMan) 7.2 ، إدارة المناظر الطبيعية SAP (SAP LaMa) ، تكامل / تنظيم عملية SAP (SAP PI / PO) ، علاقة مورد SAP

الإدارة (SRM) ، SAP NetWeaver Mobile Infrastructure (MI) ، SAP NetWeaver Development Infrastructure (NWDI) و SAP NetWeaver Composition Environment (CE).

ومع ذلك ، ترتبط أنظمة SAP بشكل عام مع أنظمة الجهات الخارجية الأخرى لتبادل البيانات وأتمتة المهام باستخدام واجهات برمجة التطبيقات. يلعب تكامل / تزامن عملية SAP (SAP PI / PO) دورًا محوريًا في عمليات التكامل هذه ويمكن أن يوفر الحل الوسط للمهاجمين إمكانية الوصول إلى بيانات الاعتماد لأنظمة وقواعد بيانات أخرى بخلاف SAP أيضًا.

تعد بوابة SAP Enterprise هدفًا مثيرًا للاهتمام أيضًا لأنها غالبًا ما تتعرض للإنترنت في شكل بوابات الخدمة الذاتية للموظفين أو في سيناريوهات B2B للموردين والشركاء التجاريين ، لذا فهي تستضيف كمية كبيرة من بيانات الأعمال ، الرئيس التنفيذي لشركة Onapsis ماريانو نونيز يقول CSO.

يعد SAP Solution Manager ، الذي يعتمد على NetWeaver Java والمتأثر ، مكونًا إلزاميًا لجميع عمليات نشر SAP ويمكن أن يكون هدفًا مثيرًا للاهتمام للمهاجمين من حيث يمكنهم الانتقال أفقيًا إلى تطبيقات أخرى.

RECON التخفيف

أخطرت Onapsis شركة SAP بالثغرات في شهر مايو وسارعت الشركة في تطوير التصحيح بسبب خطورة المشكلة وسهولة الاستغلال. كما تم إخطار وكالة الأمن السيبراني الأمريكية وأمن البنية التحتية (CISA) وفريق الاستجابة للطوارئ الحاسوبية التابع للحكومة الألمانية (CERT-Bund) وإعداد النصائح.

وفقًا لـ Nunez ، يعد تطبيق التصحيح في أقرب وقت ممكن هو الحل الأفضل. قد يؤدي الكشف عن هجوم محتمل باستخدام جدران حماية تطبيق الويب دون وجود سياق التطبيق إلى العديد من الإيجابيات الزائفة ، لأنه من الصعب التمييز بين محاولات الاستغلال وحركة المرور المشروعة.

وقالت CISA في توصياتها: “توصي CISA بشدة المؤسسات بقراءة إصدار SAP July 2020 Security Notes للحصول على مزيد من المعلومات وتطبيق التصحيحات الحرجة في أسرع وقت ممكن – إعطاء الأولوية للتصحيح من خلال البدء بالأنظمة المهمة للمهام ، والأنظمة التي تواجه الإنترنت ، والخوادم المتصلة بالشبكة”. . “يجب على المؤسسات بعد ذلك إعطاء الأولوية لترميم أصول تكنولوجيا المعلومات / OT المتأثرة الأخرى. يجب إيلاء اهتمام خاص إلى SAP Security Note 2934135”.

يقول نونيز لمنظمات المجتمع المدني أنه لن يكون من الصعب على المهاجمين إجراء هندسة عكسية للرقعة ومعرفة مكان وجود الثغرة وكيفية استغلالها. لا يتوقع أن يستغرق الأمر وقتًا طويلاً حتى يتم تسليح الخلل ، لذلك من المهم أن تفهم المؤسسات التأثير الواسع النطاق الذي يمكن أن يكون لهذا الضعف على أعمالهم إذا تركت دون إصلاح.