Выявлены атаки на платформу SAP NetWeaver Application Server для Java-приложений
В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы. Он обнаруживает подозрительную активность пользователей в платформе для приложений SAP NetWeaver Application Server Java. Новые правила позволят вовремя предотвратить доступ злоумышленников к системе SAP, атаки типа «отказ в обслуживании» и повышение привилегий до уровня администратора.
«Крупнейшие компании используют бизнес-приложения SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимодействием с поставщиками и клиентами, ресурсами предприятия, критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации имеет огромное значение, а нарушение ее конфиденциальности может привести к катастрофическим для бизнеса последствиям», — отмечает специалист отдела безопасности бизнес-систем и баз данных Positive Technologies Станислав Завгородний.
По данным за 2019 год, доля вендора на мировом рынке бизнес-приложений составляет 7,7%. Платформа SAP NetWeaver Application Server выполняет роль сервера популярных бизнес-приложений SAP. На языке Java из них написаны портал для внутренних коммуникаций SAP Portal и SAP Process Integration, которое интегрирует SAP- и другие приложения.
Эксперты Positive Technologies разработали специальный пакет экспертизы для выявления атак на SAP NetWeaver Application Server Java. В него вошли 10 правил обнаружения угроз. Они позволяют выявить применение нескольких техник атак из матрицы MITRE ATT&CK, которые используются злоумышленниками для повышения привилегий, получения учетных данных и воздействия на скомпрометированные системы. Например, с помощью этого пакета пользователи могут обнаружить случаи, когда злоумышленники:
- пытаются подобрать пароль к учетным записям;
- добавляют пользователя в группу администраторов системы SAP, чтобы повысить свои привилегии;
- пытаются войти в систему SAP под одной учетной записью с разных устройств;
- сбрасывают пароль для одной учетной записи несколько раз в течение 5 минут;
- реализуют атаку «отказ в обслуживании», намеренно вводя неверные пароли к учетным записям пользователей для их автоматической блокировки.
Ранее в MaxPatrol SIEM были загружены два пакета экспертизы для выявления атак на SAP ERP.
Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.