Платформу атакуют

Выявлены  атаки на платформу SAP NetWeaver Application Server для Java-приложений

В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы. Он обнаруживает подозрительную активность пользователей в платформе для приложений SAP NetWeaver Application Server Java. Новые правила позволят вовремя предотвратить доступ злоумышленников к системе SAP, атаки типа «отказ в обслуживании» и повышение привилегий до уровня администратора.

«Крупнейшие компании используют бизнес-приложения SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимодействием с поставщиками и клиентами, ресурсами предприятия, критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации имеет огромное значение, а нарушение ее конфиденциальности может привести к катастрофическим для бизнеса последствиям», — отмечает специалист отдела безопасности бизнес-систем и баз данных Positive Technologies Станислав Завгородний.

По данным за 2019 год, доля вендора на мировом рынке бизнес-приложений составляет 7,7%. Платформа SAP NetWeaver Application Server выполняет роль сервера популярных бизнес-приложений SAP. На языке Java из них написаны портал для внутренних коммуникаций SAP Portal и SAP Process Integration, которое интегрирует SAP- и другие приложения.

Эксперты Positive Technologies разработали специальный пакет экспертизы для выявления атак на SAP NetWeaver Application Server Java. В него вошли 10 правил обнаружения угроз. Они  позволяют выявить применение нескольких техник атак из матрицы MITRE ATT&CK, которые используются злоумышленниками для повышения привилегий, получения учетных данных и воздействия на скомпрометированные системы. Например, с помощью этого пакета пользователи могут обнаружить случаи, когда злоумышленники:

  • пытаются подобрать пароль к учетным записям;
  • добавляют пользователя в группу администраторов системы SAP, чтобы повысить свои привилегии;
  • пытаются войти в систему SAP под одной учетной записью с разных устройств;
  • сбрасывают пароль для одной учетной записи несколько раз в течение 5 минут;
  • реализуют атаку «отказ в обслуживании», намеренно вводя неверные пароли к учетным записям пользователей для их автоматической блокировки.

Ранее в MaxPatrol SIEM были загружены два пакета экспертизы для выявления атак на SAP ERP.

Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.

 

 

 

Похожие записи