Ha surgido un sofisticado script de explotación de día cero dirigido a los sistemas SAP en el panorama de seguridad cibernética, lo que demuestra capacidades avanzadas de ejecución de código remoto que representan riesgos significativos para entornos empresariales en todo el mundo.
La carga útil maliciosa se dirige específicamente a las vulnerabilidades del servidor de aplicaciones SAP Netweaver, explotando las debilidades en el componente de Internet Communication Manager (ICM) para establecer el acceso del sistema no autorizado.
Los investigadores de seguridad han identificado esta amenaza como particularmente preocupante debido a su capacidad para evitar los controles de seguridad existentes y lograr un acceso persistente a los sistemas comerciales críticos.
El script de explotación representa una nueva evolución en los ataques dirigidos a SAP, aprovechando vulnerabilidades previamente desconocidas en el entorno de tiempo de ejecución ABAP para ejecutar el código arbitrario de forma remota.
El análisis inicial indica que el malware explota los mecanismos de concatenación del código dinámico dentro de los programas ABAP, similares a las técnicas observadas en el desarrollo legítimo de SAP pero armado con fines maliciosos.
El vector de ataque se centra principalmente en sistemas con interfaces web expuestas, lo que hace que las instalaciones de SAP orientadas a Internet sean particularmente vulnerables al compromiso.
Detectar analistas de FYI identificado Este marco de explotación después de observar patrones de red inusuales y la ejecución sospechosa del código ABAP en múltiples entornos empresariales.
Los investigadores señalaron que el malware exhibe técnicas de evasión sofisticadas, incluida la capacidad de modificar su firma de ejecución dinámicamente e integrarse sin problemas con los procesos de SAP legítimos.
Este descubrimiento ha provocado una preocupación inmediata dentro de la comunidad de seguridad cibernética debido a la implementación de los sistemas SAP en las empresas globales.
Mecanismo de explotación
El mecanismo de explotación demuestra una notable sofisticación técnica en su enfoque para lograr la ejecución del código dentro de los entornos de SAP.
Flujo de ataque creado con SOC Prime con un resumen CTI (fuente – Medio)
El script malicioso inicia su ataque enviando solicitudes HTTP cuidadosamente elaboradas a través del despachador web de SAP, dirigido a puntos finales específicos dentro de la arquitectura del servidor de aplicaciones de Netweaver.
Estas solicitudes contienen cargas útiles codificadas que explotan las vulnerabilidades de desbordamiento del búfer en el componente ICM, lo que permite al atacante obtener una posición inicial dentro del espacio de memoria del sistema.
Una vez que la explotación inicial tiene éxito, el malware implementa una carga útil secundaria que establece la persistencia a través de la modificación del programa ABAP.
El script genera dinámicamente segmentos de código ABAP que se integran con la lógica comercial existente, lo que hace que la detección sea extremadamente desafiante para las herramientas tradicionales de monitoreo de seguridad.
La carga útil utiliza técnicas de inyección SQL abierta para manipular consultas de bases de datos, permitiendo la exfiltración de datos y un mayor compromiso del sistema.
El análisis de código revela el uso de métodos de concatenación de cadenas dinámicas similares a los patrones legítimos de desarrollo ABAP, pero específicamente elaborado para ejecutar comandos no autorizados dentro del esquema de la base de datos SAP.
El mecanismo de persistencia implica la creación de programas ABAP ocultos que se ejecutan durante las operaciones del sistema de rutina, asegurando el acceso continuo incluso después de reiniciar el sistema o parches de seguridad.
Estos programas se disfrazan de una lógica comercial legítima al tiempo que mantienen la funcionalidad de la puerta trasera, lo que representa un avance significativo en la sofisticación de malware dirigido por SAP.
La capacidad del script de explotación para modificar las funcionalidades de SAP de núcleo, mientras que no se detectan, resalta la necesidad crítica de un mayor monitoreo de la ejecución del código ABAP y los patrones de consulta de bases de datos en entornos de SAP empresariales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
