Злоупотребление доверенным механизмом Characteristic Propagation делает атаку скрытой и разрушительной. «Уязвимость в функциональности Characteristic Propagation (Распространение Характеристик) в SAP S/4HANA и SAP SCM позволяет привилегированным злоумышленникам внедрять произвольный код под видом легитимных бизнес-отчётов», — подчеркнул эксперт.
Эксперт отметил, что это влечёт существенные риски для бизнеса: затрагивает ключевые компоненты современных SAP-ландшафтов, несёт угрозу кражи всех персональных и конфиденциальных данных и массовой порчи мастер-данных, фальсификации производственных партий и саботаж планирования. Возможна даже остановка производства через сбой распространения характеристик, удаление системных объектов.
Установка патча от SAP, по мнению эксперта, не является достаточной мерой защиты. Необходим комплексный подход, включающий немедленную установку патча (SAP Security Note 3618955), строгое ограничение доступа к транзакциям разработки (SE38/SE80), интеграцию с SIEM для мониторинга подозрительной активности и внедрение принципа «белого списка» для отчётов, используемых в Characteristic Propagation. Кроме того, Цыбденов настоятельно рекомендует срочный аудит всех правил распространения характеристик и всех кастомных отчётов.
Для упрощения и автоматизации процесса аудита безопасности SAP-систем Цыбденов предлагает использовать специализированные решения, такие как SafeERP: «Использование SafeERP Security Suite может значительно упростить задачу по аудиту безопасности SAP-систем. Например, для массовой проверки уязвимых систем проведите аудит пользователей на наличие полномочий на запуск транзакций настройки Characteristic Propagation и транзакций создания ABAP-отчётов или модификации существующих технических отчётов. Также проведите ревью прав всех пользователей с доступом к разработке (S_DEVELOP, S_PROGRAM). После аудита запретите прямой доступ к транзакциям разработки для всех, кроме выделенной группы доверенных разработчиков.
Также при помощи SafeERP вы можете контролировать запуски транзакций разработки. Настройте и запускайте регулярные сканирования SafeERP всех кастомных отчётов (не только новых) на наличие опасных операторов (CALL 'SYSTEM', CALL FUNCTION и др.). Внедрите решение для контроля целостности ABAP-кода SafeERP для детектирования несанкционированных изменений в стандартных и кастомных отчётах. С помощью SafeERP Security Suite вы сможете контролировать целостность RFC-соединений, а также контролировать появление новых RFC-соединений в системе».
