近来,有威胁情报显示,SAP应用程序中的多个安全漏洞和不安全配置正在被黑客频繁利用,特别是对于无法安装补丁的SAP应用系统(SCM、ERP、PLM、CRM等),在攻防实战演练行动期间很容易成为红队的重点“照顾”对象。
以下漏洞请蓝队成员重点关注:
CVE-2020-6287(又名RECON):可被远程利用的预认证漏洞,能使未经认证的红队攻击者接管脆弱的SAP应用系统。
CVE-2020-6207:超危预认证漏洞,可导致红队攻击者接管未打补丁的SAP应用系统。(漏洞已于2021年1月发布在Github上)。
CVE-2018-2380:使红队攻击者能够提升权限并执行操作系统命令,从而获得对数据库的访问权,并在网络中横向移动。
CVE-2016-95:红队攻击者可以利用该漏洞触发拒绝服务(DoS)状态,并获得对敏感信息的未授权访问。
CVE-2016-3976:红队攻击者可以远程利用其来提升权限,并通过目录遍历序列读取任意文件,从而导致未经授权的信息泄露。
CVE-2010-5326:允许未经授权的红队攻击者执行操作系统命令,并访问SAP应用程序和连接的数据库,从而获得对SAP应用业务信息和流程的完全和未经审计的控制。
红队利用上述漏洞,能够:
直接关停靶机系统。
阻碍靶机目标业务的正常运行。
渗透进入蓝队系统窃取关键信息数据。
发起勒索、欺诈等复合性攻击,扰乱蓝队防御体系。
蓝队应对办法:
1、对连网的SAP应用系统发起快速安全评估。
2、在许可的条件下安装补丁程序,或进行安全配置。
3、如发现入侵痕迹,需第一时间进行入侵评估,并展开溯源工作。
4、对无法及时采取缓解措施的系统,可考虑快捷部署有效的第三方应用安全防护产品,实现对这些系统的安全保护。
蓝队同学请记住,攻防演练,情报为先,0-Day漏洞,智能防范!
来源:FreeBuf.COM