El 6 de abril de 2021, los investigadores de la empresa de ciberseguridad Onapsis entregaron una alerta detallada de actividades de actores de amenazas que están apuntando aplicaciones SAP y las técnicas de los actores de amenazas.
“La evidencia capturada en este informe muestra claramente que los actores de amenazas tienen la motivación, los medios y experiencia para identificar y explotar aplicaciones SAP de misión crítica” comunica Onapsis en su informe.
SAP se encuentra operando en más de 400.000 organizaciones en todo el mundo, en su mayoría empresas farmacéuticas, infraestructura crítica, distribuidores de alimentos, defensa y servicios públicos. Onapsis continúan observando muchas organizaciones que aún no han aplicado las mitigaciones adecuadas.
“La explotación observada podría conducir en muchos casos a un control total de la aplicación SAP no segura, evitando los controles comunes de seguridad y cumplimiento, y permitiendo a los atacantes robar información confidencial información, realizar fraudes financieros o interrumpir los procesos comerciales de misión crítica mediante la implementación ransomware o detener operaciones”, comunico Mariano Nunez Onapsis CEO and Co-founder.
Desde mediados de 2020, los investigadores de Onapsis han registrado más de 300 intentos exitosos de explotación a los sistemas. Los actores de amenaza se encuentran explotando múltiples vulnerabilidades (CVE) y configuraciones inseguras.
- CVE-2020-6287 – https://launchpad.support.sap.com/#/notes/2934135
- CVE-2020-6207 – https://launchpad.support.sap.com/#/notes/2890213
- CVE-2018-2380 – https://launchpad.support.sap.com/#/notes/2547431
- CVE-2016-9563 – https://launchpad.support.sap.com/#/notes/2296909
- CVE-2010-5326 – http://service.sap.com/sap/support/notes/1445998
Actualizar los sistemas SAP debe ser una prioridad para las instituciones, Onapsis ha podido identificar algunas direcciones IP donde los atacantes se conectan, aunque estas direcciones pueden ser temporales es importante investigar si existe alguna anomalía o tráfico de dichas direcciones.
| 103.219.193[.]177 | 103.219.193[.]212 |
| 108.160.136[.]124 | 123.16.77[.]127 |
| 124.248.219[.]232 | 128.199.69[.]229 |
| 134.35.60[.]210 | 139.162.12[.]191 |
| 139.162.48[.]186 | 153.122.160[.]135 |
| 156.146.43[.]201 | 157.7.132[.]28 |
| 158.247.199[.]115 | 167.172.200[.]181 |
| 172.104.121[.]252 | 181.143.12[.]194 |
| 185.120.124[.]27 | 190.2.131[.]159 |
| 199.195.251[.]198 | 210.121.187[.]8 |
| 213.232.87[.]201 | 218.187.66[.]134 |
| 69.4.234.[.]30 | 86.106.103[.]116 |
| 95.30.32[.]65 | |
