Выпуск эксплойта для 10-балльной дыры в SAP SolMan спровоцировал сканы

Выпуск эксплойта для 10-балльной дыры в SAP SolMan спровоцировал сканы

Выпуск эксплойта для 10-балльной дыры в SAP SolMan спровоцировал сканы

Эксперты зафиксировали всплеск сканов, нацеленных на поиск критической уязвимости, открывающей админ-доступ к платформе SAP Solution Manager (SolMan). Соответствующий патч разработчик выпустил в марте прошлого года. В Onapsis полагают, что наблюдаемая активность вызвана публикацией полнофункционального PoC-эксплойта.

Набор инструментов SAP SolMan предназначен для централизованного управления ИТ-услугами, процессами SAP и проектами внедрения SAP-систем на предприятиях. Поскольку этот пакет не содержит бизнес-информации, на местах его латают в последнюю очередь или вовсе не считают нужным поддерживать в актуальном состоянии.

Использование SolMan предполагает установку программ-агентов (SMDAgent) на узлах управляемой сети — для контроля коммуникаций, мониторинга и диагностики. Уязвимость CVE-2020-6207 в SolMan-службе EemAdmin позволяет скомпрометировать все SMDAgent, подключенные к платформе, и получить полный доступ к ассоциированным SAP-системам.

Эксплуатация уязвимости не требует аутентификации и обречена на успех при дефолтных настройках SolMan. Проблема получила 9,8 балла по шкале CVSS (в SAP ее оценили в 10 баллов).

Рабочий эксплойт для CVE-2020-6207 был выложен на GitHub неделю назад. Его автор не преминул отметить, что публикация носит чисто информативный характер и предложенный код нельзя использовать в противоправных или корыстных целях. После этого в Onapsis почти сразу зафиксировали рост интернет-активности, связанной с поиском уязвимых экземпляров SolMan.

Публикация PoC-эксплойтов для продуктов SAP, по словам экспертов, — явление достаточно редкое. В данном случае злоумышленнику потребуется доступ к HTTP(S)-порту сервера, на котором установлено ПО SolMan. Такие системы нечасто подключают к интернету, поэтому риск удаленного эксплойта CVE-2020-6207 невелик — автору атаки придется вначале проникнуть в корпоративную сеть, взломав другую систему.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru