Digital Security продемонстрировала целевые атаки на приложения SAP

Digital Security продемонстрировала целевые атаки на приложения SAP

Digital Security выбрали конференцию BlackHat, чтобы рассказать миру о новом примере целевой атаки на системы SAP. В своем выступлении эксперты исследовательской лаборатории Digital Security рассказали о сложной многоуровневой атаке на SAP-систему, где используются многочисленные эксплойты, включая уязвимость нулевого дня под названием XML Tunneling – один из подвидов атаки класса SSRF (Server Side Request Forgery, подделка ответа сервера).

«Сейчас очень много говорят о критической инфраструктуре и о вирусах для кибершпионажа. При этом слишком мало информации о бизнес-системах и в частности о возможностях для корпоративного шпионажа и мошенничества, которые открываются при атаке на ERP-системы, такие как SAP. Поскольку в ERP-системе обыкновенно хранится вся критичная для бизнеса информация, конкурент может прибегнуть к промышленному шпионажу и, например, взломать финансовый модуль, где можно найти финансовые отчеты до публикации на бирже. Корпоративные войны более чем вероятны, и некоторые крупные компании могут стать жертвами подобного вредоносного ПО. Не менее вероятны и атаки, нарушающие доступность критичной информации, такие как DoS-атаки», – заявил Александр Поляков, технический директор Digital Security.

Атака, продемонстрированная на BlackHat, представляет собой последовательную эксплуатацию уязвимостей:

Неавторизованный доступ к веб-сервису модуля SAP PI, позволяющему отправлять XML-пакеты. Сам SAP PI, как правило, доступен через Интернет;XML Tunneling – новая техника, позволяющая отправлять любые TCP-пакеты во внутреннюю системы из сети Интернет, пряча их внутри XML-пакетов;Переполнение буфера в SAP Kernel.

Таким образом, вся атака поместилась в один XML-пакет, который практически ни одна IDS-система не определила бы как вредоносное ПО. Александр Поляков поделился подробностями данного сценария атаки в интервью для InfosecIsland (видео на английском языке).

«SAP долгое время тесно сотрудничала с компанией-докладчиком, чтобы обеспечить своим клиентам безопасность, и благодаря этому заранее выяснила технические подробности продемонстрированной атаки. Данная презентация посвящена возможному сценарию атаки, эксплуатирующему уязвимости в обработке XML. Такие уязвимости характерны для многих разработчиков ПО, не только для SAP. В результате совместной работы с исследователями нам удалось исправить проблему намного раньше, чем она была обнародована, и еще в июне выпустить обновления безопасности для нее (SAP Security Note 1707494). К июльскому обновлению безопасности мы разработали дополнительные механизмы защиты (SAP Security Note 1723641 и 1721309). Если вы еще не установили эти патчи, SAP настоятельно рекомендует сделать это сейчас», – такое предупреждение SAP AG разместила на своем веб-портале. Корпорация также выпустила эксклюзивное обновление безопасности, посвященное исключительно выступлению Digital Security на BlackHat USA.

«Тем не менее, пользователи SAP не привыкли вовремя устанавливать патчи. Поэтому мы обращаем особое внимание на превентивные меры против атак на SAP-системы. В ERPScan, разработанной нами системе мониторинга безопасности SAP, постоянно добавляются новые проверки для уязвимостей нулевого дня и советы по их исправлению. Наша система также обнаруживает проблемы в ABAP-коде собственной разработки пользователей SAP, где могут быть не только уязвимости, но и программные закладки (бэкдоры). В ходе аудитов безопасности SAP нам приходилось видеть такие бэкдоры, которые, например, воровали деньги из некоторых платежей в пользу разработчиков», – рассказал Александр Поляков.

В то время как SAP оперативно закрыла обнаруженную уязвимость, две недели назад была обнаружена похожая проблема в Oracle JVM. Это означает, что любая бизнес-система, например Peoplesoft или Oracle EBS, которая работает на движке J2EE и использует XML для передачи данных, может быть уязвима к атакам типа SSRF.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая уязвимость в Forminator грозит захватом 600 000 сайтов WordPress

Недавно пропатченная уязвимость в WordPress-плагине Forminator позволяет без аутентификации удалять любые файлы на сервере, в том числе wp-config.php, что может привести к потере контроля над сайтом.

Названное расширение CMS предназначено для создания веб-форм. В настоящее время на его счету свыше 600 тыс. активных установок.

Отчет об уязвимости, которой был присвоен идентификатор CVE-2025-6463, был подан в Wordfence в рамках ее программы Bug Bounty; автор опасной находки получил вознаграждение в размере $8100.

Согласно описанию, в появлении проблемы повинна функция entry_delete_upload_files, которая некорректно проверяет пути к файлам, указанные при отправке форм (отсутствуют проверки типа полей, файловых расширений, ограничений на загрузку в директории).

Из-за этого возникла возможность включения массива файлов в любое поле формы. При последующем ее удалении (например, как спама, вручную админом либо автоматически в соответствии с настройками Forminator) все указанные в метаданных файлы тоже исчезнут.

Если в результате эксплойта удалить файл wp-config.php, целевой сайт перейдет в состояние установки, и злоумышленник сможет удаленно управлять им, связав с подконтрольной базой данных.

Эксперты особо отметили, что атака в данном случае проста в исполнении, к тому же ее можно автоматизировать. Степень опасности уязвимости оценена в 8,8 балла по CVSS.

Патч вышел 30 июня в составе сборки 1.44.3; админам рекомендуется обновить плагин в кратчайшие сроки. В профильной базе данных «Эшелона» эта уязвимость пока не числится.

В прошлом году в Forminator устранили сразу три уязвимости. Одна позволяла загружать произвольные файлы на сервер, другая — провести SQL-инъекцию, третья представляла собой XSS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru