SAP ออกเตือนผู้ใช้งานเร่งแพตช์ช่องโหว่ ที่กำลังถูกโจมตีจริง

SAP และ Onapsis ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบนคลาวด์ได้ประกาศแจ้งเตือนลูกค้าในผลิตภัณฑ์ SAP ให้เร่งแพตช์ช่องโหว่เก่าหลายหลายการที่กำลังถูกแฮ็กเกอร์เล่นงานในขณะนี้

Onapsis ได้เปิดเผยรายการความพยายามโจมตีช่องโหว่ในแอปพลิเคชัน SAP กว่า 1,500 ครั้งระหว่างมิถุนายนปีก่อนถึงมีนาคมปีนี้ โดยพบว่ามีสถิติความสำเร็จถึง 300 ครั้ง แต่ยังไม่พบความเสียหายอย่างเป็นรูปธรรมจากลูกค้ากลุ่มดังกล่าว ทั้งนี้ผู้เชี่ยวชาญพบว่าคนร้ายได้มีการใช้ช่องโหว่หลายรายการผสมผสานกันดังนี้ (ภาพประกอบด้านบน)

• CVE-2020-6284 – คนร้ายที่ยังไม่ผ่านการพิสูจน์ตัวตนจากทางไกลสามารถเข้ายึดระบบ SAP
• CVE-2020-6207 – คนร้ายที่ยังไม่ผ่านการพิสูจน์ตัวตนสามารถเข้ายึดระบบ SAP ทีมงาน Onapsis พบการสแกนกว่า 756 ครั้งจาก 34 หมายเลขไอพี
• CVE-2018-2380 – ช่วยยกระดับสิทธิ์และ Execute คำสั่งของ OS เพื่อเข้าถึงฐานข้อมูลและเครือข่าย โดย Onapsis พบความพยายาม 34 ครั้งจาก 10 หมายเลขไอพี ซึ่งเกิดขึ้นจาก Web Shells ที่คนร้ายทิ้งไว้หลังเข้ามาสำเร็จ
• CVE-2016-95 – ช่วยทำ DoS และเข้าถึงข้อมูลสำคัญ
• CVE-2016-3976 – คนร้ายทางไกลสามารถยกระดับสิทธิ์และเข้าอ่านไฟล์ผ่านทาง Directory Traversal
• CVE-2010-5326 – คนร้ายที่ยังไม่ผ่านการพิสูจน์ตัวตนสามารถ Execute คำสั่งของ OS และเข้าถึงแอปพลิเคชันที่เชื่อมต่อกับฐานข้อมูล ซึ่งทำให้สามารถเข้าควบคุม SAP Business Information และโปรเซสได้อย่างสมบูรณ์

สำหรับ CISA ได้พบผลกระทบต่อผู้ใช้งานคือ การขโมยข้อมูล ปลอมแปลงทางการเงิน ก่อกวนหรือหยุดการดำเนินธุรกิจ และแรนซัมแวร์ นอกจากนี้ Onapsis พบว่าคนร้ายมีความพยายามโจมตีซึ่งใช้เวลาไม่ถึง 3 ชั่วโมงที่จะประสบความสำเร็จในการโจมตี

โดย SAP เองได้เตือนให้ผู้ใช้สำรวจตัวเองดูว่ามีการกระทำใดไม่เหมาะสมหรือไม่ ประเมินว่าระบบนั้นมีผลกระทบขนาดไหนและจากช่องโหว่ที่กล่าวมาระบบของตนแพตช์หรือยัง ศึกษาเพิ่มเติมได้ที่ https://us-cert.cisa.gov/ncas/current-activity/2021/04/05/malicious-cyber-activity-targeting-critical-sap-applications อย่างไรก็ดีผู้ใช้งาน SAP Cloud ไม่ได้รับผลกระทบเพราะจะมีการอัปเดตอัตโนมัติอยู่เสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/ongoing-attacks-are-targeting-unsecured-mission-critical-sap-apps/