Уязвимость получила уровень критичности 9.9 (из 10) по CVSS. Производитель выпустил исправления, которые рекомендуется максимально оперативно установить на уязвимые системы.

Ошибка позволяет с помощью специально подготовленного отчета удаленно встроить в него произвольный код и получить несанкционированный доступ к системе. Ошибка относится к классу внедрения постороннего кода (инъекция), которая возникает при генерации кода (CWE-94). Ошибка была исправлена производителем в июльском выпуске исправлений, которые был опубликован 8 июля.

Рис. Ошибка позволяет в отчет SAP встроить вредоносный код

Более 60% крупнейших российских компаний использовали SAP ERP, в основном: нефтегазовая промышленность, розничная торговля (ритейл) и банковский сектор, – напомнил читателям TAdviser Тимур Цыбденов, ведущий инженер компании «Газинформсервис». – К 2020 году начался активный переход к S/4 HANA — он является преемником SAP ERP и оптимизирован для хранимой в памяти базы данных SAP HANA. К 2022 году часть крупных предприятий завершили миграцию. Остальные находились в процессе внедрения или планирования. В 2022 году компания SAP объявила об уходе с российского рынка, компании заморозили новые внедрения, но с сохранением систем. Установленные системы продолжают работать в изолированном режиме — без поддержки SAP, с ограниченными обновлениями.    
Крупные компании, которые ранее активно использовали решения SAP, сейчас эксплуатируют их в закрытых контурах. Получить доступ к ним извне бывает затруднительно. Однако во время пандемии COVID-19 эти системы были настроены на удаленную работу пользователей в дистанционном режиме, поэтому при некорректной настройке удаленного доступа лазейки все еще могут оставаться.

SAP-решения, включая S/4HANA и SAP SCM, стабильно используются в крупных российских компаниях, особенно в госсекторе, промышленности, ритейле и логистике, – пояснил TAdviser ситуацию Анатолий Песковский, руководитель направления анализа защищенности компании «Информзащита». – До начала санкционного давления SAP занимал лидирующие позиции на российском рынке ERP-систем. Несмотря на официальное прекращение работы в РФ, множество действующих инсталляций продолжают использоваться, зачастую в изолированных или частично обновляемых инфраструктурах. Внутренние ИТ-команды поддерживают эти системы, но при этом обновления часто откладываются или проходят с существенными задержками - из-за рисков совместимости, отсутствия прямой поддержки и ограниченного доступа к официальным патчам.    

Критические уязвимости в таких продуктах – хороший повод для ускорения процедур обновления, чтобы исключить даже гипотетическую возможность дистанционной эксплуатации уязвимости. К сожалению, сейчас недостаточно простой установки официальных обновлений. Даже их стоит проверить их на наличие закладок.

Решения SAP в России распространены, однако необходимо понимать, что при этом они очень тяжеловесны и используются в организациях масштаба отрасли, государства, – заявил TAdviser Андрей Мичкин, начальник отдела комплексной архитектуры Cloud Networks. – Количество таких инсталляций не измеряется даже сотнями, но их важности это не снижает. Исходя из того, что решение не массовое, можно сказать, что проблемы будут локальными для предприятия. Но я считаю, что последствия при этом могут быть очень серьезными: например, могут быть парализованы на несколько дней рабочие процессы, что для крупных предприятий может означать колоссальные убытки.    

Чтобы избежать столь серьезных последствий, компаниям, которым все еще приходится эксплуатировать SAP S/4HANA, стоит не только установить обновления, но и провести аудит их безопасности.

Уязвимость, судя по описанию, достаточно опасная, так как позволяет удаленно выполнить код на сервере и получить доступ к системе, – предупредил читателей TAdviser Михаил Сергеев, ведущий инженер CorpSoft24. – Если система недоступна из интернета и находится в закрытом контуре, то использовать уязвимость почти невозможно, поэтому стоит беспокоиться только тем, кто использует ее в публичном доступе.    

Однако в российских реалиях существует угроза в том числе и внутренних атак, когда с помощью фишинга или финансовой мотивации злоумышленники стимулируют сотрудников компании загрузить «посторонний» отчет в работающую систему.

Основная угроза исходит от инсайдеров: привилегированный злоумышленник может внедрить произвольный код под видом легитимных бизнес-отчётов, – пояснил TAdviser Дмитрий Хомутов, директор Ideco. – Однако при некорректной настройке сети и контроля доступа уязвимость может быть использована и внешними атакующими. Для защиты от уязвимостей, связанных с небезопасной генерацией кода в ERP-системах (таких как SAP), необходим комплексный подход. В первую очередь следует как можно быстрее установить официальный патч (SAP Security Note 3618955), закрывающий данную проблему. Одновременно с этим важно строго ограничить доступ к критически важным транзакциям разработки, таким как SE38 и SE80, чтобы минимизировать риски несанкционированного изменения кода.    

В целом же устаревшие решения иностранных производителей стоит контролировать максимально жестко. В этом случае даже появление подобных уязвимостей не будет иметь больших последствий.

При грамотно настроенной ИБ-системе риск сводится к минимуму, – считает Александр Самсонов, ведущий эксперт отдела разработки и тестирования компании «Код безопасности». – В целом при использовании ИТ-решений из «недружественных» стран рекомендуется использовать межсетевое экранирование, в первую очередь многофункциональные межсетевые экраны нового поколения (NGFW), которые имеют в своем составе большое количество защитных механизмов, например, IDPS. Также необходимо провести грамотную сегментацию сети. В случае успешного проникновения за периметр SAP, сегментация позволит ограничить продвижение злоумышленников вглубь целевой инфраструктуры – к критическим данным и системам управления.    

Кроме того, стоит контролировать любые программные коды, как от производителя, так и собственные, поверхность возможной атаки и обращение с учетными данными. Для решения этих задач уже разработан целый ряд специализированных инструментов.

В целом, мы рекомендуем регулярно проводить аудит: какие ИТ-системы доступны через VPN и на внешнем периметре, не превышены ли привилегии пользователей, администраторов и специалистов подрядчиков, не сохранились ли учетные записи бывших сотрудников или технические учетные записи с устаревшими паролями, нет ли следов манипуляций с данными на файловых хранилищах, – определил наиболее общие правила защиты от уязвимостей с нарушением генерации кода Даниил Чернов, автор продукта Solar appScreener. – Эти задачи закрывают IdM, PAM- и DAG-системы, для многих компаний они стали инструментами кибергигиены.    

Источник: TAdviser.

Больше новостей читайте в телеграм-канале SAPLAND: Новости экосистемы.