SAPとセキュリティアナリストのオナプシス氏は、サイバー犯罪者はエンタープライズソフトウェア企業のパッチをかなり迅速に分析し、脆弱なシステムに侵入するためのエクスプロイトを開発していると述べている。
両組織が発表した共同レポートの中で、オナプシスのCEOであるマリアノ・ヌニェス氏は、「サイバー攻撃者が安全でないSAPアプリケーションを積極的に標的にし、悪用しているという決定的な証拠」を挙げ、時間が極めて重要であると警告し、「パッチのリリースから72時間以内にSAPの脆弱性が武器化されている」と報告した。
レポートによると、クラウド環境に新しくプロビジョニングされたSAPアプリケーションの場合、発見と攻撃はわずか3時間で発生する可能性があります。しかし、クラウドサービスプロバイダーで新しいSAPインスタンスがプロビジョニングされてから悪用され、侵害されるまでの平均時間は1週間弱です。
確かに、情報セキュリティの世界ではパッチが常に急速に武器化されていますが、SAP によってそれが定量化され、強調されているのを見るのは興味深いことです。
SAP/Onapsis の警告と併せて、米国政府のサイバーセキュリティ・インフラストラクチャ庁 (CISA) は独自の警告を発し、「古いソフトウェアや誤って構成されたソフトウェアを実行している SAP システムは、悪意のある攻撃を受けるリスクが増大する」と述べた。
3月のIDEにご用心:Exchange Serverの慌ただしいアップデート後にMicrosoftの最新の月例修正プログラムがリリース
続きを読む
連邦政府は、攻撃が成功した場合、データ窃盗、金融詐欺、業務プロセスの混乱、ランサムウェア、そして極めて望ましくない「全業務停止」といった事態が発生する可能性があると述べた。SolarWindsの失態やMicrosoft Exchangeサーバーへの最近の攻撃に続いて発生したことを考えると、このような懸念は当然と言えるだろう。
また、SAP ソフトウェアは 400,000 を超える組織と 1,000 を超える政府機関で使用されていることを考えると、CISA が IT 担当者にもう少し努力するよう促すことに関心があるのには、一定の論理があります。
SAP/Onapsisのレポートによると、2020年半ば以降、保護されていないSAPインスタンスに対する300件以上の攻撃が成功していることが明らかになっています。これらの攻撃では、複数の脆弱性(CVE)と安全でない構成が悪用されています。
これは、この活動の結果として組織が実際に侵害されたことを示唆しているが、そうではないと SAP と Onapsis は主張している。
「これらのエクスプロイトは、Onapsis Threat Intelligence Cloudを通じて観測されたものであり、実際の顧客環境で観測されたものではありません」とOnapsisの広報担当者は説明した。「そのため、被害者や実際の組織への影響に関するデータは保有していません。」
ソフトウェアの速度
セキュリティ業界がもう少し確実な情報を提供できるのは、タイムラインです。例えば、RECON脆弱性(CVE-2020-6287)が2020年7月14日に公開された後、概念実証コードが7月15日に公開され、大規模なスキャンが7月16日に開始され、実際に機能するエクスプロイトが7月17日に公開されました。システム管理者がSAPパッチ適用のメリットとデメリットをじっくり検討する時間はあまり残されていません。
観測された攻撃の試みのほとんどは、主に GitHub で公開エクスプロイトが利用可能な次の CVE に集中していました: CVE-2010-5326、CVE-2018-2380、CVE-2016-3976、CVE-2016-9563、CVE-2020-6287、および CVE-2020-6207。
Onapsis は、観察された攻撃試行のいずれについても帰属先を明らかにしなかったが、自動攻撃試行と対話型ログイン試行の両方について、大まかな地理的起源を特定した。
- 自動/インタラクティブ
- 米国/イエメン
- 韓国/米国
- シンガポール/日本、シンガポール、米国、香港、台湾
- オランダ/スウェーデン
- インド/米国
- シンガポール/ベトナム
セキュリティ企業のアドバイスは、予想通りのものです。つまり、これらの CVE に対して脆弱な SAP アプリケーションを特定し、修正をテストし、すぐに適用することです...もちろん、ビジネスに不可欠なアプリケーションを壊したり、スタッフの生産性を低下させたりすることなく。
また、誤った構成、過剰な権限、その他の潜在的な問題を早めに特定することを忘れないでください。
実際にそうなったこともあります。ハッピーエンドではなくて申し訳ありません。®
