发新话题
打印

snort/IPS规则用于防御攻击SAP系统的10KBlaze恶意程序

snort/IPS规则用于防御攻击SAP系统的10KBlaze恶意程序

以下是snort代码,请写到中神通UTMWALL IPS自定义规则中:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"10KBLAZE SAP Exploit execute attempt"; flow:established,to_server; content:"|06 cb 03|"; offset:4; depth:3; content:"SAPXPG_START_XPG"; nocase; distance:0; fast_pattern; content:"37D581E3889AF16DA00A000C290099D0001"; nocase; distance:0; content:"extprog"; nocase; distance:0; sid:1; rev:1;)

======
全球使用SAP ERP的企业用户要注意了,安全厂商发现一个锁定SAP平台的恶意程序,全球100万家SAP企业客户中高达9成或将陷入系统被黑客接管或删改数据的风险。

安全厂商Onapsis Research Labs近日发现,一个瞄准SAP Gateway和Message Server的恶意程序10KBlaze被公开在网络论坛上。Gateway和Message Server都是SAP Netweaver中的元件,分别提供移动装置及其他系统连接SAP系统,以及串联Netweaver各元件和数据库。10KBlaze主要是利用NetWeaver及S/4HANA一项已由SAP官方揭露的系统设定问题而对企业带来威胁。

去年Onapsis发现,SAP NetWeaver Message Server软件出货时,存取控制表(Access Control List, ACL)预设为关闭,以方便系统安装。然而关闭ACL意谓着,所有人都可以存取port 3900注册app,包括外部攻击者。事实上SAP早在14年前就曾发出警告,提醒企业用户开启ACL设定,以降低未授权存取的风险。安全公司估计有90万家用户仍使用不当的设定。

研究人员指出,一旦SAP被植入10KBLAZE,远端攻击者即可以用它来新增具备管理员权限的用户帐号,借此存取或修改机密敏感的企业数据,或是取得数据库完整存取权限、搞挂SAP系统或永久删除重要资讯。

安全公司指出,由于每个SAP系统都有Message Server和Gateway,因此所有使用NetWeaver Application Server及S/4HANA的系统都可能受影响,包括SAP Business Suite、ERP、SAP CRM、SCM、SAP SRM、S/4HANA、SAP Solution Manager、SAP GRC Process and Access Control、SAP Process Integration/Exchange Infrastructure (PI/XI)、SAP Solution Manager等等。

原文:全球SAP ERP用户要注意 最近有点小麻烦~
https://mp.weixin.qq.com/s?__biz=MzU5NzQ2MTk0OA==&mid=2247483911&idx=1&sn=5cad72ad1a2c865f701dbc1499af5ca7&chksm=fe525cd4c925d5c234bdb ... mp;pass_ticket=X9fZfMVe3%2Fc0YdxPQRHb%2FAF5a1s5Yui3QPQ0fEuxIhZMWgncAKz%2FE8bTkxcjb%2BG4#rd

参考:
安全报告原文:https://www.onapsis.com/10kblaze
美国国土安全部alert:https://www.us-cert.gov/ncas/alerts/AA19-122A

[ 本帖最后由 linda 于 2019-5-11 22:36 编辑 ]

TOP

发新话题