باگ RECON امکان ایجاد حساب کاربری مدیر را در سرورهای SAP فراهم می‌کند

شرکت SAP، غول خدمات فناوری اطلاعات کسب‌وکاری، بسته‌ی امنیتی جدیدی برای سرورهای خود عرضه کرد که آسیب‌پذیری خطرناکی در سرور مشتریان متعدد هدف قرار داده بود. باگی که با بسته‌ی جدید برطرف شد، RECON (ثبت‌شده با نام CVE-2020-6287) نام دارد و شرکت‌ها را درمعرض نفوذهای آسان قرار می‌دهد. شرکت امنیت ابری Onapsis اولین‌بار باگ خطرناک را در سرورهای SAP شناسایی و ماه مه، گزارش آن را برای شرکت ارسال کرد. از همان زمان، توسعه‌ی بسته‌ی اصلاحی امنیتی برای باگ در SAP شروع شد و اکنون بسته‌ی نهایی دردسترس مشتریان سازمانی قرار دارد.

همان‌طورکه گفته شد، RECON به مجرمان سایبری امکان می‌دهد حساب کاربری SAP در سرور ایجاد کنند. این حساب کاربری حداکثر دسترسی‌های ممکن را به سرور پیدا می‌کند و درواقع، امکان مدیریت کامل اپلیکیشن‌های SAP موجود در اینترنت به مجرم سایبری داده می‌شود و او به‌راحتی کنترل تمامی منابع شرکت قربانی را در دست می‌گیرد.

مجرمان سایبری به‌راحتی از آسیب‌پذیری RECON سوءاستفاده می‌کنند و در بخش پیش‌فرض در تمامی اپلیکیشن‌های SAP مبتنی‌بر SAP NetWeaver Java و به‌بیان دقیق‌تر، در بخش LM Configuration Wizard در SAP NetWeaver Application Server وجود دارد. این بخش در برخی از محصولات مشهور SAP وجود دارد که از میان آن‌‌ها می‌توان به SAP S/4HANA ،SAP SCM ،SAP CRM ،SAP CRM ،SAP Enterprise Portal و SAP Solution Manager اشاره کرد.

افزون‌براین، دیگر اپلیکیشن‌های SAP که از SAP NetWeaver Java استفاده می‌کنند، از آسیب‌پذیری جدید ضربه می‌خورند. Onapsis پیش‌بینی می‌کند حدود ۴۰ هزار مشتری غول خدمات سرور از این آسیب‌پذیری خسارت می‌بینند؛ البته همه‌ی آن‌ها اپلیکیشن آسیب‌پذیر را مستقیما در فضای اینترنت استفاده نمی‌کرده‌اند. در بخش دیگری از گزارش شرکت امنیت سایبری، به کشف ۲،۵۰۰ سیستم SAP اشاره می‌شود که با اتصال مستقیم اینترنتی، دربرابر باگ RECON آسیب‌پذیر هستند.

انتشار سریع بسته‌ی امنیتی برای باگ RECON بسیار اهمیت داشت. شرکت امنیتی یادشده می‌گوید باگ RECON یکی از آسیب‌پذیری‌های نادر محسوب می‌شود که در مقیاس بررسی آسیب‌پذیری موسوم به CVSSv3، امتیاز ۱۰ از ۱۰ را ازلحاظ خطرناک‌بودن دریافت کرد. نمره‌ی ۱۰، یعنی سوءاستفاده از باگ آن‌چنان دشوار نیست و به دانش فنی نیازی ندارد. به‌‌علاوه، این امتیاز درخورتوجه، یعنی می‌توان با استفاده از حمله‌های از راه دور و اینترنت، از باگ موجو سوءاستفاده کرد. همچنین، مجرمان برای سوءاستفاده از آن لزوما به داشتن حساب کاربری SAP یا مشخصات ورود صحیح و معتبر نیازی ندارند.

باگ RECON سومین باگی بود که در هفته‌‌های گذشته با امتیاز ۱۰ از ۱۰ در مقیاس CVSS و باگ‌های مشابه دیگر در سیستم‌عامل PAN-OS کشف شد که در فایروال‌های Palo Alto Networks و دستگاه‌های تغییر IP استفاده می‌شود. باگ بعدی در سرورهای BIG-IP از F5 پیدا شد که از دستگاه‌های مشهور مخصوص زیرساخت شبکه به‌حساب می‌آید.

کشف باگ‌های خطرناگ در هفته‌‌های گذشته برای مشتریان تجاری بدترین خبر ممکن بود. آسیب‌پذیری‌های مشابهی در دستگاه‌های OIracle و Citrix و Juniper کشف شد که همگی خطر و تهدید جدی به‌همراه داشتند و به‌راحتی هم سوءاستفاده می‌شوند. مجرمان سایبری اکنون بسیاری از آسیب‌پذیری‌ها را پیدا کرده‌اند و از آن‌ها سوءاستفاده می‌کنند. به‌عنوان مثال، حمله‌‌های متعددی با سوءاستفاده از باگ‌های PAN-OS و F5 و Citrix گزارش شده است.

مدیران سروری که از سیستم‌های SAP استفاده می‌کنند، باید سریع‌تر بسته‌ی امنیتی شرکت را برای رفع باگ RECON نصب کنند. محققان امنیتی هشدار می‌دهند که درصورت سهل‌انگاری، هکرها می‌توانند کنترل کامل اپلیکیشن‌های SAP سازمان را به‌دست بگیرند. در مراحل بعدی، امکان سرقت فناوری‌های اختصاصی شرکت و داده‌های کاربری از سیستم‌‌های داخلی وجود دارد. سطح خطر باگ مذکور آن‌چنان زیاد بود که آژانس امنیت زیرساخت و امنیت سایبری وزارت امنیت میهن ایالات متحده پیام هشداری جدی برای نصب بسته‌ی امنیتی به شرکت‌ها ارسال کرد.