Siber güvenlik manzarasında SAP sistemlerini hedefleyen sofistike bir sıfır günlük sömürü komut dosyası ortaya çıktı ve dünya çapında işletme ortamları için önemli riskler oluşturan ileri uzaktan kod yürütme özelliklerini gösterdi.
Kötü niyetli yük, özellikle SAP NetWeaver Uygulama Sunucusu güvenlik açıklarını hedefler ve yetkisiz sistem erişimi oluşturmak için İnternet İletişim Yöneticisi (ICM) bileşenindeki zayıflıklardan yararlanır.
Güvenlik araştırmacıları, bu tehdidi özellikle mevcut güvenlik kontrollerini atlama ve kritik iş sistemlerine kalıcı erişim sağlama yeteneği nedeniyle tanımlamışlardır.
Sömürü senaryosu, SAP-hedefli saldırılarda yeni bir evrimi temsil eder ve ABAP çalışma zamanı ortamında daha önce bilinmeyen güvenlik açıklarını uzaktan yürütmek için daha önce bilinmeyen güvenlik açıklarından yararlanır.
İlk analiz, kötü amaçlı yazılımların, ABAP programlarındaki dinamik kod birleştirme mekanizmalarını, meşru SAP gelişiminde gözlemlenen ancak kötü niyetli amaçlar için silahlandırılan tekniklere benzer şekilde kullanır.
Saldırı vektörü öncelikle maruz kalan web arayüzlerine sahip sistemlere odaklanır ve internete dönük SAP kurulumlarını özellikle uzlaşmaya karşı savunmasız hale getirir.
Tespit FYI analistleri, çoklu kurumsal ortamlarda olağandışı ağ modellerini ve şüpheli ABAP kodu yürütülmesini gözlemledikten sonra bu sömürü çerçevesini belirlediler.
Araştırmacılar, kötü amaçlı yazılımın, yürütme imzasını dinamik olarak değiştirme ve meşru SAP süreçleriyle sorunsuz bir şekilde entegre etme yeteneği de dahil olmak üzere sofistike kaçış teknikleri sergilediğini belirtti.
Bu keşif, SAP sistemlerinin küresel işletmelerde yaygın olarak konuşlandırılması nedeniyle siber güvenlik topluluğunda derhal endişe yarattı.
Sömürü mekanizması
Sömürü mekanizması, SAP ortamlarında kod yürütme sağlama yaklaşımında dikkate değer teknik gelişmişlik göstermektedir.
.webp)
Kötü niyetli komut dosyası, SAP Web Dispatcher aracılığıyla özenle hazırlanmış HTTP istekleri göndererek, NetWeaver Uygulama Sunucusu mimarisindeki belirli uç noktaları hedefleyerek saldırısını başlatır.
Bu istekler, ICM bileşenindeki arabellek taşma güvenlik açıklarından yararlanan kodlanmış yükler içerir ve saldırganın sistem bellek alanı içinde ilk dayanak kazanmasına izin verir.
İlk sömürü başarılı olduktan sonra, kötü amaçlı yazılım ABAP program değişikliği yoluyla kalıcılık oluşturan ikincil bir yük dağıtır.
Komut dosyası, mevcut iş mantığı ile entegre olan ABAP kodu segmentlerini dinamik olarak üreterek algılamayı geleneksel güvenlik izleme araçları için son derece zorlaştırır.
Yük, veritabanı sorgularını manipüle etmek için açık SQL enjeksiyon tekniklerini kullanır, veri açığa çıkmasını ve daha fazla sistem uzlaşmasını sağlar.
Kod analizi, meşru ABAP geliştirme modellerine benzer dinamik dize birleştirme yöntemlerinin kullanımını ortaya çıkarır, ancak özellikle SAP veritabanı şeması içinde yetkisiz komutlar yürütmek için hazırlanmıştır.
Kalıcılık mekanizması, rutin sistem işlemleri sırasında yürütülen gizli ABAP programlarının oluşturulmasını ve sistem yeniden başlattıktan veya güvenlik yamalarından sonra bile erişimi sağlamayı içerir.
Bu programlar, arka kapı işlevselliğini korurken, SAP hedefli kötü amaçlı yazılım karmaşıklığında önemli bir ilerlemeyi temsil eden meşru iş mantığı olarak maskelenir.
Sökme komut dosyasının temel SAP işlevlerini değiştirme yeteneği, tespit edilmemiş kalırken, kurumsal SAP ortamlarında ABAP kodu yürütme ve veritabanı sorgu kalıplarının arttırılmış izlenmesi için kritik ihtiyacı vurgular.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.