正文
——从 Visual Composer,攻击者可以转向更关键的 SAP 组件,例如网关、消息服务器或 HANA 数据库。
漏洞利用迹象
为了识别当前的攻击活动和参与者,我们使用了三个数据源:
-
针对应用执行环境的扫描。
自 4 月 25 日(CVE 发布后的第二天)以来,已有多种扫描工具和概念验证 (PoC) 漏洞被公开。如下图所示,我们从 4 月 29 日开始注意到针对 AEE 的扫描。针对“
/developmentserver/metadatauploader
”的扫描(用于查找易受攻击的服务器)自 4 月 29 日起持续增长,而针对
“/irj/*.jsp”
的扫描(用于查找受感染的服务器)仅在 4 月 29 日至 4 月 30 日期间进行。我们注意到有 37 个唯一 IP 地址正在扫描“
/developmentserver/metadatauploader
”,有 14 个唯一 IP 地址正在扫描“
/irj/*.jsp
”。与前一次扫描相关的所有 IP 均位于 Microsoft ASN 上,与后一次扫描相关的所有 IP 均位于 Amazon ASN 上。
-
针对客户的漏洞利用尝试。
漏洞利用尝试主要出现在制造环境中,在这些环境中,SAP 系统被入侵可能会对运营和安全造成广泛的影响。同样值得注意的是,在这些环境中,我们观察到防御扫描期间系统崩溃的报告,这表明系统存在漏洞或暴露。我们观察到 13 个不同的 IP 地址在客户网络上试图利用此漏洞。这些地址属于以下自治系统 (AS):
-
AS12876(Scaleway SAS)——法国托管服务提供商,有多个 IP 被记录为暴力攻击目标。
-
AS51167(Contabo GmbH)——德国托管服务提供商,以提供低成本 VPS 服务而闻名,但有时会被威胁行为者滥用。
-
AS40021(Nubes, LLC)——一家在美国注册的提供商,提供 VPN 服务器和 Tor 服务。
-
AS41314 (ECO TRADE Sp. z oo) – 一家波兰小型 ASN,似乎属于一家合法食品制造企业。漏洞利用尝试中使用的 IP 可能已被泄露。
-
追踪对手基础设施。
在其中一次攻击中,我们恢复了一个名为“config”的 ELF 二进制文件 ( 888e953538ff668104f838120bc4d801c41adb07027db16281402a62f6ec29ef) ,并从中提取了 IP 地址 47.97.42[.]177。该 IP 地址托管了一个 SuperShell 登录界面,网址为 http://47.97.42[.]177:8888/supershell/login。SuperShell 是一个基于 Web 的反向 Shell,由一位名为“tdragon6”的中文开发者使用 Go 语言开发。这一发现促使我们绘制并追踪这些漏洞背后的威胁行为者基础设施。
