SAP警告駭客正在攻擊本地部署系統已知漏洞

SAP與安全公司Onapsis周二發出聯合安全公告，警告SAP之前已經修補的漏洞，近日分別發生自動化惡意程式及人為操作的攻擊，影響企業自行維護或外部代管的SAP系統。

SAP和Onapsis觀察到網路上有300多件自動化程式，利用7種攻擊管道針對未修補的SAP系統發動攻擊，以及100多道人為操作的連線活動，後者涉及多個駭客組織。安全廠商警告，證據顯示駭客具備高階的領域知識（domain knowledge），包括能在攻擊後安裝SAP修補程式。

7個攻擊管道涉及6項SAP舊有漏洞，包括CVE-2016-3976、CVE-2020-6287（NetWeaver）、CVE-2020-6207，CVE-2010-5326、CVE-2016-9563、CVE-2018-2380以及暴力破解密碼，使攻擊者得以存取或攻擊SAP應用。其中，CVE-2010-5326、CVE-2016-9563，以及CVE-2018-2380，可讓駭客得以在OS層執行惡意程式，而CVE-2016-3976和CVE-2020-6207則可造成攻擊者橫向移動到其他主機。

成功開採漏洞可能導致駭客接管SAP應用程式，繞過一般的安全控制，竊取重要資料、發動勒索軟體攻擊，擾亂甚至中斷系統運作，或直接勒索金錢。

這些攻擊影響本地部署或由第三方業者代管SAP系統的客戶，但由SAP代管的雲端應用則不受影響。此外，SAP本身的IT系統也安然無恙。所有遭到鎖定的SAP漏洞都已經有修補程式。

Onapsis還發現，在SAP釋出修補程式72小時內即已被鎖定，此外，未修補的SAP雲端應用在IaaS上線不到3小時就被駭入。

不過SAP和Onapsis又表示，目前尚未發現有任何已知的客戶資料外洩與之「直接相關」，但是他們發現仍有許多企業尚未修補。

SAP和Onapsis也和美國國土安全部、網路安全暨基礎架構安全署（CISA）、德國聯邦網路安全管理署合作發出公告，呼籲企業用戶應立即行動，安裝修補程式及做好安全組態，並執行入侵評估檢查。