0xNews - SAP 에서 심각한 취약점 발견
0xNews - SAP 에서 심각한 취약점 발견
Onapsis 발표
https://onapsis.com/active-cyberattacks-mission-critical-sap-applications
2020년 중반부터 2021년 3월까지 SAP 시스템에 특화되어 이전에 알려진 취약점과 안전하지 않은 구성을 표적으로 한 총 1500건의 공격 시도 중 300건 이상 공격 성공 확인
공격자는 여러 차례 무차별 대입 공격 시도
SAP 계정에 대한 권한 부여 후 여러 취약점을 연결하여 SAP 애플리케이션 공격 시도
이번에 취약점이 알려진 대상은
ERP enterprise resource planning 전사 자원 관리
SCM supply chain management 공급망 관리
HCM human capital management 인적 자원 관리
PLM product lifecycle management 제품 수명 주기 관리
CRM customer relationship management 고객 관계 관리 등이 포함
하지만 이 외 프로그램도 취약점 대상
이번 발표 보고서에는 패치 발표 후 72시간 이내 SAP 취약점의 무기화를 요약
클라우드 환경에서 프로비저닝된 보호되지 않은 새로운 SAP 애플리케이션은 3시간 이내 발견되고 손상 확인
2020년 7월 14일 CVE-2020-6287 패치 발표
하루 후 PoC 등장
7월 16일 해당 취약점 관련 대량 스캔 활동 보고
7월 17일 모든 기능을 갖춘 공개 익스플로잇 릴리스
공격 벡터는 정교하지 않음
하지만 공격자는 다양한 기술과 도구, 절차를 선택하여 초기 접속 권한 획득
권한 상승 후 임의 명령 실행을 위한 웹쉘 삭제하고 보다 높은 권한을 가진 SAP 관리자 사용자를 생성
데이터베이스 자격 증명 추출
공격 접근 루트는 TOR 노드나 VPS virtual private servers 분산 가상 사설 서버 등의 도움을 통해 시작
현재까지 확인된 6개 취약점
CVE-2010-5326
CVSS 10
SAP NetWeaver AS Application Server 의 Java의 원격 코드 실행 취약점
CVE-2016-3976
CVSS 7.5
SAP NetWeaver AS Java의 디렉터리 탐색 취약점
CVE-2016-9563
CVSS 6.4
SAP NetWeaver AS Java의 BC-BMT-BPM-DSK 구성 요소의 XML 외부 엔티티 XXE External Entity 확장 취약점
CVE-2018-2380
CVSS 6.6
SAP CRM의 인터넷 판매 구성 요소의 디렉터리 통과 취약점 Directory traversal vulnerability
CVE-2020-6207
CVSS 9.8
SAP Solution Manager 에서 인증 검사 누락
CVE-2020-6287
CVSS 10
LM 구성 마법사 구성 요소의 NetWeaver의 원격 악용 가능 코드 취약점 RECON Remotely Exploitable Code
CVE-2020-6287 취약점이 성공한다면
인증되지 않은 공격자에게 영향을 받는 SAP 시스템에 대한 전체 접속 권한을 부여
재무기록 수정이나 직원이나 고객, 공급 업체로부터의 개인 식별 정보 PII personally identifiable information 탈취 가능
데이터베이스 훼손이나 로그나 추적 정보 삭제나 수정
필수 비즈니스 관련 정보 운영이나 사이버 보안이나 규정에 대한 강제 위반을 통해 회사에 피해 누락 가능
연구팀은 2021년 1월 14일 완전히 작동하는 익스플로잇이 공개되기 3개월 전 2020년 10월 19일
CVE-2020-6207 에 대해 정보 공개 이전 악용을 위한 스캔 활동 감지의 탐지 확인
Blackhat 2020 에서 해당 정보 공개
Blackhat 2020 발표 PDF 링크
2020년 12월 9일 관리자 사용자 생성이나 SAP 시스템에 로그인이 가능한 취약점인 CVE-2020-6287
권한 상승 취약점인 CVE-2018-2380
높은 권한의 계정이나 데이터베이스에 접속 가능한 CVE-2016-3976
등 세가지 취약점 역시 정보 공개 이전 활동한 것으로 파악
이 세가지 취약점을 모두 확인한 공격자는 90분 이내 공격 완료 가능한 것으로 확인
현재까지 고객 침해 사고에 대한 보고는 확인되지 않음
다수의 기업에서는 해당 애플리케이션이 내부망 중심으로 운용되고 있기 때문에 적극적인 보안 조치를 수행하지 않은 것으로 분석
조직과 기업의 SAP 애플리케이션 손상 평가를 수행하고 관련 패치를 적용하여 무단 접속 방지 등을 조속히 수행할 것을 권고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.