Хакер #305. Многошаговые SQL-инъекции
Представители Министерства внутренней безопасности США опубликовали официальное предупреждение, согласно которому, активность «правительственных хакеров» растет. Предупреждение основывается на отчетах ИБ-компаний Digital Shadows и Onapsis, по данным которых вероятность атак на системы ERP (Enterprise Resource Planning, планирование ресурсов предприятия) в ближайшее время существенно возрастает.
По данным ИБ-экспертов, злоумышленников все больше интересуют данные об уязвимостях и 0-day проблемах в продукции SAP и Oracle, — двух главных поставщиков ERP-софта. Исследователи пишут о том, что хакеры активно делятся друг с другом деталями о взломах SAP на русскоязычных хакерских форумах, а в даркнете ищут эксплоиты для SAP HANA. Исследователи напоминают, что подобные прецеденты уже встречались в прошлом: например, известный банковский троян Dridex в 2016-2017 годах прицельно похищал учетные данные от ERP-систем (а точнее от продуктов SAP).
При этом сообщается, что количество эксплоитов для ERP-приложений SAP и Oracle за последние три года возросло на 100%, а интерес злоумышленников к таким атакам в 2016-2017 годах и вовсе поднялся на 160%.
В основном эксперты обнаруживали и документировали атаки, в ходе которых не использовались 0-day уязвимости. Как правило, преступники охотятся за ERP-приложениями, не получавшими надлежащих патчей или облачными установками, которые не защищены и не настроены должным образом. Кроме того, для атак нередко используются легитимные учетные данные, «утекшие» в сеть во время других ИБ-инцидентов или просто недостаточно надежные.
Так, экспертам удалось выявить в интернете более 17 000 ERP-приложений, уязвимых перед простым брутфорсом и словарными атаками. Еще 500 ERP оказались настроены неправильно и «светили» в онлайне своими файлами конфигурации.
В конце отчета эксперты предупреждают, что последствия возможных атак на ERP-системы могут оказаться весьма плачевными. Ведь эти решения используют крупнейшие организации мира, основывая на них критически важные бизнес-процессы. По мнению специалистов Digital Shadows и Onapsis, массовые атаки на ERP могут вызвать не меньший резонанс, чем знаменитая эпидемия WannaCry, а макроэкономические последствия будут даже серьезнее.
В пресс-службе SAP комментируют:
"SAP выступает за безопасное и надежное программное обеспечение. Как мировой лидер в области ПО для бизнеса, мы со всей серьезностью подходим к вопросам безопасности и применяем передовые практики в наших процессах по обеспечению информационной безопасности – включая разработку, оперирование, создание инструментов и обучение сотрудников. Главные ценности для SAP – это конфиденциальность, сохранность и защита персональных данных. Мы рекомендуем всем нашим клиентам устанавливать патчи по безопасности от SAP, как только они доступны – обычно они выходят каждый второй вторник каждого месяца, для защиты инфраструктуры SAP от атак.
Более подробная информация о патчах по безопасности от SAP доступна в нашей публичной wiki, общие рекомендации по вопросам информационной безопасности также описаны в данном гайде, опубликованном на официальном сайте».