SAP ยืนยันช่องโหว่ระดับ Critical ใน NetWeaver อาจถูกแฮ็กเกอร์กำลังใช้โจมตีแบบ Zero-Day

กลุ่มผู้ไม่หวังดีอาจกำลังใช้ช่องโหว่ใหม่ใน SAP NetWeaver เพื่ออัปโหลด JSP web shells โดยมีเป้าหมายเพื่ออัปโหลดไฟล์ และเรียกใช้โค้ดที่เป็นอันตรายโดยไม่ได้รับอนุญาต

ReliaQuest ระบุว่า "การโจมตีนี้อาจเกี่ยวข้องกับช่องโหว่ที่ถูกเปิดเผยมาก่อนหน้านี้ คือ CVE-2017-9844 หรือช่องโหว่ Remote File Inclusion (RFI) ที่ยังไม่ได้ถูกรายงาน"

บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า "ความเป็นไปได้ที่จะเป็นการโจมตีแบบ zero-day มาจากข้อเท็จจริงที่ว่าหลายระบบที่ได้รับผลกระทบมีการติดตั้งแพตช์ล่าสุดไปแล้ว"

ช่องโหว่นี้คาดว่ามีต้นตออยู่ที่ endpoint ชื่อว่า  "/developmentserver/metadatauploader" ภายใน SAP NetWeaver environment ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถอัปโหลด JSP-based web shell ที่เป็นอันตรายไปยัง path "servlet_jsp/irj/root/" เพื่อให้สามารถเข้าถึงระบบจากระยะไกลได้อย่างถาวร และดำเนินการ payloads อื่น ๆ เพิ่มเติมได้

อธิบายได้อีกอย่างคือ web shell แบบ JSP ที่มีขนาดเล็ก ถูกกำหนดค่าให้สามารถอัปโหลดไฟล์โดยไม่ได้รับอนุญาตได้ ซึ่งเมื่อถูกเปิดใช้งาน จะสามารถควบคุมระบบที่ติดมัลแวร์ได้อย่างถาวร, สามารถเรียกใช้คำสั่งจากระยะไกล และขโมยข้อมูลที่มีความสำคัญได้

มีการตรวจพบบางเหตุการณ์ที่พบว่ามีการใช้ framework Brute Ratel C4 สำหรับขั้นตอนหลังการโจมตี รวมถึงเทคนิคที่เป็นที่รู้จักอย่าง Heaven's Gate เพื่อหลบเลี่ยงมาตรการป้องกันของอุปกรณ์ด้านความปลอดภัย

อย่างน้อยในหนึ่งกรณี พบว่าผู้ไม่หวังดีใช้เวลาหลายวันในการดำเนินการจากการเข้าถึงระบบในครั้งแรกได้สำเร็จไปสู่การโจมตีในขั้นต่อไป ซึ่งแสดงให้เห็นความเป็นไปได้ว่าผู้โจมตีอาจเป็น Initial Access Broker หรือ IAB ที่ทำหน้าที่เจาะระบบก่อน แล้วขายสิทธิ์การเข้าถึงให้กับกลุ่มแฮ็กเกอร์อื่นในฟอรัมใต้ดิน

ReliaQuest ระบุว่า “การสืบสวนของบริษัทพบรูปแบบที่น่ากังวล ซึ่งแสดงให้เห็นว่าผู้โจมตีกำลังใช้ช่องโหว่ที่รู้จักร่วมกับเทคนิคใหม่ ๆ ที่มีการพัฒนาอย่างต่อเนื่อง เพื่อให้การโจมตีมีประสิทธิภาพสูงสุด”

“SAP มักถูกใช้โดยหน่วยงานรัฐบาล และองค์กรขนาดใหญ่ จึงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้โจมตี และเนื่องจาก SAP มักถูกติดตั้งแบบ on-premises การรักษาความปลอดภัยของระบบเหล่านี้จึงขึ้นอยู่กับผู้ใช้งานเอง ซึ่งหากไม่มีการอัปเดต หรือติดตั้งแพตช์อย่างทันท่วงที ก็มีความเสี่ยงสูงที่จะถูกโจมตีได้สำเร็จ”

นอกจากนี้ SAP ได้ออกการอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ที่มีความรุนแรงสูงสุด (CVE-2025-31324, คะแนน CVSS: 10.0) ซึ่งผู้โจมตีสามารถใช้ประโยชน์เพื่ออัปโหลดไฟล์ใด ๆ ก็ได้เข้าสู่ระบบ

คำแนะนำด้านความปลอดภัยระบุว่า “ตัวอัปโหลดข้อมูล Metadata ของ SAP NetWeaver Visual Composer ไม่มีการป้องกันด้วยระบบ authorization ที่เหมาะสม ทำให้ผู้ไม่หวังดีที่ยังไม่ได้ผ่านการยืนยันตัวตน สามารถอัปโหลดไฟล์ binaries ที่อาจเป็นอันตรายได้ ซึ่งอาจสร้างความเสียหายรุนแรงต่อ host system ได้”

เป็นไปได้ว่า CVE-2025-31324 จะเกี่ยวข้องกับช่องโหว่ที่ยังไม่ได้ถูกเปิดเผยอย่างเป็นทางการ เนื่องจากส่งผลกระทบต่อ component เดียวกันคือ Metadata Uploader โดย The Hacker News ได้ติดต่อ ReliaQuest เพื่อขอความเห็นเพิ่มเติม และจะอัปเดตข่าวนี้หากได้รับการตอบกลับ

การเปิดเผยช่องโหว่นี้เกิดขึ้นหลังจากที่ CISA ได้ออกคำเตือนเมื่อไม่นานมานี้ เกี่ยวกับการโจมตีช่องโหว่ NetWeaver ที่มีระดับความรุนแรงสูงอีกช่องโหว่หนึ่ง (CVE-2017-12637) ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงไฟล์การตั้งค่าที่สำคัญของ SAP ได้

 

ที่มา : thehackernews.

SAP ออกเเพตซ์เเก้ไขช่องโหว่จำนวน 19 รายการ ในเเพตซ์ประจำเดือนพฤศจิกายน 2020

SAP ออกเเพตซ์การอัปเดตความปลอดภัยประจำเดือนพฤศจิกายน 2020 โดยในเดือนพฤศจิกายนนี้ SAP ได้ออกเเพตซ์เเก้ไขช่องโหว่ที่สำคัญ 19 รายการ ซึ่งช่องโหว่ที่ได้รับการเเก้ไขนี้จะส่งผลกระทบต่อผลิตภัณฑ์ Solution Manager (SolMan), Data Services, ABAP, S4/HANA และ NetWeaver อย่างไรก็ดีช่องโหว่ที่ความสำคัญมีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-26821, CVE-2020-26822, CVE-2020-26823, CVE-2020-26824 และ CVE-2020-6207 (CVSSv3: 10/10) เป็นช่องโหว่ที่เกิดจากปัญหาในการตรวจสอบการพิสูจน์ตัวตนใน SAP Solution Manager (Java stack) ช่องโหว่จะมีผลกระทบกับ SAP Solution Manager (JAVA stack) เวอร์ชัน 7.2
ช่องโหว่ CVE-2019-0230, CVE-2019-0233 (CVSSv3: 9.8/10) เป็นช่องโหว่ภายใน SAP Data Services โดยช่องโหว่จะมีผลกระทบกับ SAP Data Services เวอร์ชัน 4.2
ช่องโหว่ CVE-2020-26808 (CVSSv3: 9.1/10) เป็นช่องโหว่ Code injection ใน SAP AS ABAP และ S/4 HANA (DMIS) โดยช่องโหว่จะมีผลกระทบกับ SAP AS ABAP(DMIS) เวอร์ชัน 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020 และ SAP S4 HANA(DMIS) เวอร์ชัน 101, 102, 103, 104, 105
ช่องโหว่ CVE-2020-26820 เป็นช่องโหว่การยกระดับสิทธิ หรือ Privilege escalation ใน SAP NetWeaver Application Server for Java (UDDI Server) โดยช่องโหว่จะมีผลกระทบกับ SAP NetWeaver AS Java เวอร์ชัน 7.20, 7.30, 7.31, 7.40, 7.50
ช่องโหว่ CVE-2020-6284 เป็นช่องโหว่ Cross-site scripting (XSS) ใน SAP NetWeaver โดยช่องโหว่จะมีผลกระทบกับ SAP NetWeaver เวอร์ชัน 7.30, 7.31, 7.40, 7.50

ทั้งนี้ผู้ดูแลระบบและผู้ใช้งานควรรีบทำการอัปเดตเเพตซ์เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: wiki.

ช่องโหว่ “RECON” ใน SAP NetWeaver ทำให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบบนเซิร์ฟเวอร์ SAP

SAP เปิดตัวแพตช์แก้ไขช่องโหว่รหัส CVE-2020-6287 เป็นช่องโหว่ RECON (ย่อมาจาก Remotely Exploitable Code On NetWeaver) ที่เกิดขึ้นใน SAP NetWeaver JAVA ซึ่งเป็นส่วนประกอบสำคัญของโซลูชั่น SAP หลายรายการ

Onapsis ผู้เชี่ยวชาญด้าน Security และผู้ค้นพบช่องโหว่กล่าวว่า ช่องโหว่นี้หากผู้โจมตีสามารถโจมตีได้สำเร็จ ผู้โจมตีสามารถเข้าถึงระบบโดยไม่ผ่านการยืนยันตัวตน สามารถสร้าง User ใหม่และสามารถควบคุมแอพพลิเคชัน SAP ได้ด้วยสิทธิ์สูงสุด ผู้เชี่ยวชาญ Onapsis ประเมินว่าจำนวนลูกค้าที่ใช้ SAP NetWeaver ได้รับผลกระทบอย่างน้อย 40,000 ราย โดยเป็นจำนวนโดยประมาณที่ยังไม่ได้รับการยืนยันจากทาง SAP อย่างเป็นทางการ โดยช่องโหว่ RECON เป็นหนึ่งในช่องโหว่ที่มีความรุนแรงระดับวิกฤติที่ได้รับการจัดอันดับคะแนนสูงสุด 10/10 ของช่องโหว่ CVSSv3

SAP ให้คำแนะนำว่าผู้ใช้ควรอัปเดตแพทซ์แก้ไขช่องโหว่นี้โดยเร็วที่สุด สามารถดูข้อมูลการอัปเดตแพทซ์เพิ่มเติมได้ที่ wiki.