상세 컨텐츠

본문 제목

SAP 시스템, 업데이트 공개 후 72시간 내 공격 받아

국내외 보안동향

by 알약4 2021. 4. 7. 09:00

본문

 

 

SAP systems are targeted within 72 hours after updates are released

 

Onapsis SAP의 공동 연구에 따르면 온프레미스 SAP 시스템이 보안 패치가 공개된 지 채 72시간도 되지 않아 공격을 받기 시작한 것으로 나타났습니다.

 

공격자는 SAP을 노리기 위해 최근 추가된 취약점을 악용할 목적으로 SAP 패치의 리버스 엔지니어링을 수행하여 자체 코드를 생성했습니다. 

 

SAPOnapsisCISA와 독일 사이버 보안 회사인 BSI와 협력하여 SAP 고객들에 경고하였으며, 보안 업데이트가 가능해지는 대로 설치하고, 온프레미스 설치를 검사해볼 것을 권장했습니다.

 

Onapsis는 아래와 같이 보도했습니다.

 

“패치가 출시된 후 72시간 이내에 SAP 취약점이 무기화되고, 3시간 이내에 클라우드(IaaS) 환경에서 프로비저닝 된 보호되지 않은 SAP 애플리케이션이 발견 및 해킹되었습니다.”
 
“관찰된 익스플로잇은 대부분의 경우 안전하지 않은 SAP 애플리케이션을 완전히 제어하여 일반적인 보안 및 규정 준수 제어를 우회하고 공격자가 민감 정보를 훔치고, 금융 사기를 저지르거나 랜섬웨어를 배포하거나 운영을 중지시켜 조직의 필수적인 비즈니스 프로세스를 방해합니다.”

 

 

<이미지 출처 : https://onapsis.com/active-cyberattacks-mission-critical-sap-applications>

 

 

공격자들은 민감 데이터 및 중요 프로세스를 직접적으로 다루는 필수적인 SAP 애플리케이션을 노린 정교한 공격을 수행합니다.

 

공격자들은 구성 및 사용자 정보를 수정하고, 민감한 비즈니스 정보를 유출하기 위해 SAP 시스템에 접근하려 했습니다.

 

보고에 따르면, 클라우드(IaaS) 환경에 배포된 안전하지 않은 새로운 SAP 애플리케이션은 약 3시간 이내에 사이버 공격의 표적이 되었습니다.

 

또한 공격자들은 PoC 코드를 사용하여 SAP 시스템을 공격했으며, 높은 권한을 가진 SAP 사용자 계정을 해킹하는데는 브루트포싱 공격을 수행했습니다.

 

이러한 공격의 목적은 구성 및 사용자 계정을 수정하여 비즈니스 정보를 유출하기 위해 SAP 배포를 완전히 제어하는 것입니다.

 

이번 공격자는 SAP 아키텍처에 대한 깊은 이해를 보여주었습니다. 이들은 특정 SAP 애플리케이션을 공격하여 효율을 최대화 하기 위해 여러 취약점을 연결하여 사용했습니다. 여러 사례에서는 커스텀 익스플로잇을 사용하기도 했습니다.

 

관찰된 공격 중 대부분에서 SAP 패치 이후에 공개된 익스플로잇이 사용되었지만, 연구원들은 공개 도메인에서 얻을 수 없는 커스텀/개인 익스플로잇을 사용했다는 지표 또한 탐지했습니다.”

 

OnapsisSAP 설치에 대한 공격을 연구하기 위해 허니팟을 설정했으며, 공격자가 아래 취약점을 적극적으로 탐색 및 악용하고 있는 것을 발견했습니다.

 

- CVE-2010-5326
- CVE-2018-2380
- CVE-2016-3976
- CVE-2016-9563
- CVE-2020-6287
- CVE-2020-6207

 

 

 

 

출처:

https://securityaffairs.co/wordpress/116431/reports/sap-systems-under-attacks.html

https://onapsis.com/active-cyberattacks-mission-critical-sap-applications

관련글 더보기

댓글 영역