Yakın zamanda Hackerlar SAP'den Ne İstiyor? konu başlıklı bir yazı yayınlamıştık.
Bu yazımızda ise saldırıların oluşmasına yol açan açıklıklara dair detayları ve önlemleri işleyeceğiz.
11 Nisan tarihinde yayınlanan SAP güvenlik bülteninde, 24 ayrı konu belirtilmekte, bunların 5'i geçmiş güncellemeler ile çözülmüşken, bazılarınınsa çok yeni olduğu ve çok yüksek düzeyli risk içerdiğini görmekteyiz.
Liste başı risklerden bazıları;
CVE-2023-27267: SAP Diagnostics Agent, sürüm 720'nin OSCommand Bridge'i etkileyen yetersiz giriş doğrulaması ve eksik kimlik doğrulama sorunu, bir saldırganın bağlı agent'lar üzerinde komut dizileri yürütmesine ve sistemin tamamen tehlikeye atılmasına olanak tanıyor. (CVSS v3.1 puanı: 9.0)
CVE-2023-28765: SAP BusinessObjects Business Intelligence Platform (Promotion Management), sürüm 420 ve 430'u etkileyen, temel ayrıcalıklara sahip bir saldırganın lcmbiar dosyasına erişmesine ve şifresini çözmesine olanak tanıyan bilgilerin açığa çıkmasına dair güvenlik açığıdır. Bu açık, saldırganın platform kullanıcılarının parolalarına erişmesine ve ek kötü amaçlı eylemler gerçekleştirmek için hesaplarını ele geçirmesine olanak tanır. (CVSS v3.1 puanı: 9.8)
CVE-2023-29186: SAP NetWeaver sürüm 707, 737, 747 ve 757'yi etkileyen ve bir saldırganın güvenlik açığı bulunan SAP sunucusuna dosya yüklemesine ve dosyaların üzerine yazmasına olanak tanıyan dizin geçiş kusurudur. (CVSS v3.1 puanı: 8.7)
Açıkların tespit edildiği bu aşamada, SAP'nin çok kısa süredeki çalışmaları ile güncellemelerini hazır hale getirmesi ve yayınlaması dahi yeterli olmuyor.
(Geçmiş yazımızdan kısa bir hatırlatma; ortalama 72 saat içerisinde tespit edilebilmiş bir zafiyeti gideren güncelleme yayınlanabilse de, yayınlanan bu güncelleme haberinden sonra, ortalama 3 saat içerisinde saldırganlar bunu takip ediyor, erişiyor ve 1.5 saat içerisinde de tam başarılı bir saldırıyı tamamlayabiliyorlar.)
Saldırı hızlarının yüksek düzeyde olduğunu, savunma hızına kıyasla saldırganların çok avantajlı olduklarını söyleyebiliriz. Bu durumda ya zamanla yarışmak ya da en baştan planlı davranmak gerekiyor. (Bu konudaki çözümümüzü hatırlatmanın da tam yeri: TINA ISOLATOR detaylı bilgi)
Zaman Yarışı İle Savunma
SAP'nin 180 ülkede, 425.000 müşterisiyle küresel pazar payının %24'üne sahip olduğu, dünyanın en büyük ERP satıcısı olduğu bilinmekte, ayrıca Forbes Global 2000'in %90'ından fazlasının SAP'nin ERP, SCM, PLM ve CRM ürünlerini kullandığı belirtilmektedir.
Dolayısıyla saldırganlar çıkarları için her zaman büyük kurumsal ağlarda kullanılan SAP (veya benzeri yaygın ürünler) üzerinde kritik önemdeki kusurları arar haldeler.
Saldırganlar bir kaç ayrı çeşit kitleden oluşmakta; ileri düzey organize olmuş ve yüksek tekniğe sahip olanlar açıklığın yayınlanmasından önce onları kendi denemeleri ile bulup zafiyetten faydalanabilirken, kimi zaman da zafiyet ve/veya yama duyuruları yapıldıktan sonra zafiyetlerin kullanılması için hızlıca İnternet'i tarayan, bu taramalara yönelik kodlar yazan ve/veya dağıtan saldırgan kitleler de mevcut.
Özellikle yama yayınları duyurulduktan sonra, yamaların hızlı şekilde uygulanması riskin sona erdirilebilmesi için önemlidir, bu şekilde aksiyon alınması son dakika saldırı-savunma yarışında başarılı olunmasını sağlamaktadır.
Ancak, çalışılmakta olan yoğun tempoda fark edilmemesi, şartların uygun bulunmaması (donanım, insan kaynağı, bütçe vb.), servis veren sistemin müsait olmaması, ciro kaybı veya operasyonel durma riski gibi sebeplerden yamaların uygulanması genellikle gecikmekte.
Kimi zaman da yamaların yaratabildiği uyumsuzluk/verimsizlik/ani problemler gibi sebepler, güvensizlik doğurmakta, büyük (major) versiyon yükseltmeleri uygulanırken, tedirginlikten ötürü geçişlerin ertelenmesine yol açmakta.
Tam da bu nokta; geciken yamalar, riskin en yüksek düzeye ulaştığı anlar olarak en korkutucu dönemleri oluşturuyor.
Alternatif Çözüm: En Baştan Planlama, Yatırım ile Savunma
- Kurum iç ağından doğrudan erişim
- VPN üzerinden İnternet'ten kuruma ağına dahil olarak erişim
- İnternet üzerinden herhangi bir uç noktadan direkt erişim
Eğer bu tür veya benzer düzeyde erişim ihtiyaçları varsa ve SAP'nin servis vermeyi hedeflediği kitle sınırlı ise; örneğin iş ortakları, tedarikçiler, bayiler, personel vb. sayıca ve kullanıcılar belirli ise, bu durumda bu servisin İnternet üzerinden erişilebilmesi, aslında tüm İnternet kullanıcılarının bu servisi görmesi gerektiği anlamına da gelmemekte. ZTNA - Zero Trust Network Access çözümümüz tam da bu tür ağ alanları yaratırken işi rahatlatıyor.
Bu ağ alanlarını - dağınık ağ, dağınık yapı üzerinde çalışan kullanıcı kitleleri olsa dahi - izole edebilmek, hem güvenlik hem de performans açısından yüksek düzeyde fayda sağladığından, erişim yönetim sistemlerinin bu çalışmaları sağladığını ve bunlara yapılan yatırımın kısa vadede kendini amorte ettiğini hatırlatmak isteriz.