SAP: aanvallers hebben 72 uur nodig om patch in exploit te veranderen

Abonneer je gratis op Techzine!

SAP waarschuwt gebruikers om snel te zijn met het installeren van beveiligingspatches. Het bedrijf claimt dat aanvallers razendsnel de patches weten te reverse-engineeren, met als resultaat dat ongepatchte systemen extra kwetsbaar zijn.

Dit blijkt uit een rapport dat SAP samen met beveiligingsanalist Onapsis heeft opgesteld. Aanvallers hebben minder dan 72 uur nodig om een patch om te zetten in een aanval. Voor nieuwe SAP-applicaties in cloudomgevingen kan een aanval zelfs al binnen drie uur plaatsvinden. Gemiddeld duurt het echter iets minder dan een week voordat dit gebeurt, schrijft The Register.

Waarschuwing van CISA

Het rapport heeft zelfs geleid tot een waarschuwing van de Amerikaanse Cybersecurity & Infrastructure Security Agency. De instantie waarschuwt dat SAP-systemen met verouderde of verkeerde geconfigureerde software een verhoogd risico lopen op malafide aanvallen en moedigt gebruikers aan om de benodigde updates en mitigaties toe te passen.

Honderden inbraakpogingen

Sinds halverwege 2020 hebben SAP en Onapsis meer dan 300 succesvolle pogingen gezien om in te breken bij onbeschermde SAP instances. Daarbij werd gebruikgemaakt van meerdere kwetsbaarheden en onveilige configuraties. Het is niet bekend voor hoeverre dit ook heeft geleid tot extra aanvallen bij omgevingen van klanten. De onderzoekers hadden niet de toegang tot de benodigde gegevens om daar achter te komen.

Wel laat het onderzoek enkele concrete voorbeelden van exploits zien. Zo kwam op 14 juli 2020 informatie over de RECON-kwetsbaarheid (CVE-2020-6287) boven water. De volgende dag verscheen er al proof-of-conceptcode, een dag later werd er op grote schaal naar kwetsbaarheden gescand en op 17 juli was er een exploit gereed. Ook voor verschillende andere kwetsbaarheden kwamen er al snel exploits op GitHub terecht.

Zo snel mogelijk reageren

Onapsis adviseert beheerders om snel te reageren op nieuw beschikbare patches. Controleer of je applicaties draait die kwetsbaar zijn voor deze CVE’s, test de patches en voer ze zo snel mogelijk door.

Tip: ‘50.000 enterprises die SAP-software draaien mogelijk kwetsbaar voor exploits’