Хакеры с помощью отчета SAP могут захватить информационную систему.

ФСТЭК в десятых числах июля разослала предупреждение об обнаружении критической ошибки BDU:2025-08254, которая присутствует в системе планирования ресурсов предприятия SAP S/4HANA и программном средстве для управления цепочкой поставок SAP SCM (Characteristic Propagation). Уязвимость получила уровень критичности 9.9 (из 10) по CVSS. Производитель выпустил исправления, которые рекомендуется максимально оперативно установить на уязвимые системы.

Ошибка позволяет с помощью специально подготовленного отчета удаленно встроить в него произвольный код и получить несанкционированный доступ к системе. Ошибка относится к классу внедрения постороннего кода (инъекция), которая возникает при генерации кода (CWE-94). Ошибка была исправлена производителем в июльском выпуске исправлений, которые был опубликован 8 июля.

Крупные компании, которые ранее активно использовали решения SAP, сейчас эксплуатируют их в закрытых контурах. Получить доступ к ним извне бывает затруднительно. Однако во время пандемии COVID-19 эти системы были настроены на удаленную работу пользователей в дистанционном режиме, поэтому при некорректной настройке удаленного доступа лазейки все еще могут оставаться.

Критические уязвимости в таких продуктах – хороший повод для ускорения процедур обновления, чтобы исключить даже гипотетическую возможность дистанционной эксплуатации уязвимости. К сожалению, сейчас недостаточно простой установки официальных обновлений. Даже их стоит проверить их на наличие закладок.

Чтобы избежать столь серьезных последствий, компаниям, которым все еще приходится эксплуатировать SAP S/4HANA, стоит не только установить обновления, но и провести аудит их безопасности.

Однако в российских реалиях существует угроза в том числе и внутренних атак, когда с помощью фишинга или финансовой мотивации злоумышленники стимулируют сотрудников компании загрузить «посторонний» отчет в работающую систему.

Основная угроза исходит от инсайдеров: привилегированный злоумышленник может внедрить произвольный код под видом легитимных бизнес-отчётов. Однако при некорректной настройке сети и контроля доступа уязвимость может быть использована и внешними атакующими. Для защиты от уязвимостей, связанных с небезопасной генерацией кода в ERP-системах (таких как SAP), необходим комплексный подход. В первую очередь следует как можно быстрее установить официальный патч (SAP Security Note 3618955), закрывающий данную проблему. Одновременно с этим важно строго ограничить доступ к критически важным транзакциям разработки, таким как SE38 и SE80, чтобы минимизировать риски несанкционированного изменения кода.

В целом же устаревшие решения иностранных производителей стоит контролировать максимально жестко. В этом случае даже появление подобных уязвимостей не будет иметь больших последствий.

При грамотно настроенной ИБ-системе риск сводится к минимуму, В целом при использовании ИТ-решений из «недружественных» стран рекомендуется использовать межсетевое экранирование, в первую очередь многофункциональные межсетевые экраны нового поколения (NGFW), которые имеют в своем составе большое количество защитных механизмов, например, IDPS. Также необходимо провести грамотную сегментацию сети. В случае успешного проникновения за периметр SAP, сегментация позволит ограничить продвижение злоумышленников вглубь целевой инфраструктуры – к критическим данным и системам управления. 

Кроме того, стоит контролировать любые программные коды, как от производителя, так и собственные, поверхность возможной атаки и обращение с учетными данными.

Сервер Veeam из-за уязвимости может зашифровать резервную копию или распространить вирус.

В середине июня ФСТЭК разослала предупреждение об обнаружении критической уязвимости BDU:2025-06894 в системе облачного резервного копирования Veeam Backup & Replication. Ошибка подтверждена производителем и исправлена. Поскольку она имеет уровень критичности 9.9 (из 10), то эксперты ФСТЭК рекомендуют пользователям максимально оперативно перейти на безопасные версии продукта.

Уязвимость BDU:2025-06894 связана с недостатками механизма проверки входных данных. Ее эксплуатация может позволить нарушителю, действующему удаленно, выполнить произвольный код на сервере резервного копирования. Опасными являются версии до 12.3.2 (номер сборки 12.3.2.3617), в которой данная уязвимость была исправлена.

Обнаруженный дефект безопасности относится к классу CWE-20 – неверная валидация ввода, однако какого типа инъекция кода может быть использована для проникновения, из сообщений регулятора непонятно. Тем не менее, класс ошибок CWE-20 может привести к таким критическим проблемам, как выполнение вредоносных кодов, потенциальные нарушения целостности базы данных или обход ограничений бизнес-логики. Эксплойты для данной уязвимости пока не обнаружены.

Действительно, резервное копирование обычно используется в критических системах, поэтому решения этого класса устанавливают те компании, которые заботятся и о своей безопасности, и о непрерывности функционирования ИТ-инфраструктуры.

Альтернативных решений такого же уровня функциональности на рынке даже до 2022 года было крайне мало. Конкуренты вроде Commvault или NetBackup значительно уступали Veeam по простоте развертывания и управления. Это создавало ситуацию фактической монополии Veeam в сегменте среднего и крупного бизнеса. Причем решение ориентировано на сохранение резервных копий в облачных хранилищах, поэтому иногда сервер может быть доступен из интернета.

Обнаруженная уязвимость представляет серьезную угрозу, так как позволяет удаленно выполнить произвольный код на сервере. Поскольку серверы Veeam нередко доступны из интернета для удаленного администрирования, риск эксплуатации крайне высок. Основной сценарий атаки — шифрование резервных копий с последующим вымогательством, что обесценивает саму идею бэкапа и может парализовать восстановление компании после другой целевой атаки. При появлении публичного эксплойта вполне возможны и массовые атаки.

Впрочем, далеко не все пользователи продукта дают к нему доступ из интернета. Как уже было сказано выше, этот продукт в основном используют компании, которые заботятся о информационной безопасности и непрерывности бизнеса, поэтому они закрывают доступ к серверу для внешних пользователей. Это несколько ограничивает атакующих в возможности эксплуатации уязвимости.

Собственно, компенсирующие меры, которые предлагают реализовать специалисты ФСТЭК, в случае невозможности перехода на безопасную версию как раз направлены на правильную настройку сетевых средств защиты. Они следующие:

  • Использовать средства межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
  • Ограничить доступ к уязвимому ПО, используя схему по «белым спискам»;
  • Внедрить систему обнаружения и предотвращения вторжений для выявления и регистрации эксплуатации уязвимости, а также реагирования на них;
  • Использовать защищенные коммуникации для организации удаленного доступа к продукту из интернета;
  • Ограничить доступ к платформе из общедоступных сетей.

Константин Симонов для защиты от уязвимостей класса CWE-20 также предлагает использовать следующие технологии:

  • Межсетевые экраны (NGFW и WAF) – фильтрация и блокировка подозрительных запросов, а также «виртуальный патчинг» уязвимости;
  • Микросегментация сети – минимизация горизонтального перемещения в случае компрометации;
  • Принцип минимальных привилегий – ограничение прав пользователей и сервисов;
  • Мониторинг и управление уязвимостями (SIEM и VM) – обнаружение аномалий и сканирование на уязвимости.

Взлом компаний по всему миру из-за критической уязвимости SharePoint.

Киберпреступники воспользовались критической уязвимостью в серверном программном обеспечении Microsoft SharePoint и провели масштабную атаку на государственные учреждения и корпорации по всему миру. Взломы затронули федеральные агентства США, университеты, энергетические компании и азиатскую телекоммуникационную фирму. Атака была выявлена в июле 2025 года.

Как передает Washington Post, правительство США совместно с партнерами из Канады и Австралии расследует взлом серверов SharePoint, которые обеспечивают платформу для обмена документами и управления ими. Под угрозой находятся десятки тысяч таких серверов по всему миру.

Исследователи отметили, что глобальная хакерская атака на продукты Microsoft затронула США и государственные учреждения. Атака нулевого дня была нацелена на ранее неизвестную уязвимость, что стало очередным ударом по репутации Microsoft в области кибербезопасности.

У любого, у кого есть сервер SharePoint, есть проблема. Это серьезная уязвимость.

Эксперты подчеркнули масштаб угрозы для организаций по всему миру, поскольку хакеры взломали американские ведомства и компании, используя критическую уязвимость в программном обеспечении.

Атака затронула только внутренние серверы организаций, а не облачные решения типа Microsoft 365. Компания первоначально предложила пользователям внести изменения в серверные программы или отключить их от интернета. В воскресенье вечером Microsoft выпустила обновление для одной версии программного обеспечения, однако две другие версии остаются уязвимыми.

ФБР подтвердило осведомленность о происшествии и заявило о тесном сотрудничестве с федеральными и частными партнерами. Агентство по кибербезопасности и защите инфраструктуры получило предупреждение о проблеме в пятницу от компании киберразведки и немедленно связалось с Microsoft.

Добавить комментарий