Специалисты компании Onapsis Research Labs обнаружили на GitHub эксплоит для продуктов SAP, опубликованный российским исследователем Дмитрием Частухиным 14 января 2021 года. По словам экспертов, эксплоит применим к SAP SolMan – платформе для управления жизненным циклом всех решений SAP в распределенной среде. Эксплоит является полнофункциональным и предназначен для уязвимости CVE-2020-6207, из-за которой версия SAP Solution Manager (User Experience Monitoring) 7.2 не проводит аутентификацию сервиса. Проэксплуатировав уязвимость, злоумышленник может полностью скомпрометировать все подключенные к SAP Solution Manager агенты SMDAgent. Успешная атака с использованием этой уязвимости может повлиять на кибербезопасность организации и соответствие нормативным требованиям, подвергая риску критически важные данные, приложения SAP и бизнес-процессы. «Хотя эксплоиты публикуются online регулярно, с уязвимостями в SAP дела обстояли иначе. Для них число публично доступных эксплоитов было ограничено. Выпуск общедоступного эксплоита значительно увеличивает вероятность атак, поскольку в таком случае круг потенциальных атакующих не ограничивается только SAP-экспертами и специалистами, но также расширяется до скрипт-кидди и менее опытных атакующих, которые теперь могут использовать общедоступные инструменты вместо того, чтобы создавать собственные», – пояснили в Onapsis Research Labs. Поскольку платформа SolMan предназначена для централизованного управления всеми SAP- и другими системами, она устанавливает доверенные соединения со множеством систем. Получивший к ней доступ злоумышленник потенциально может поставить под угрозу любую подключенную к SolMan бизнес-систему. «К сожалению, поскольку она не содержит никакой бизнес-информации, платформа SAP SolMan часто упускается из виду с точки зрения безопасности; в некоторых компаниях к ней не применяется та же политика исправлений, что к другим системам», – отметили исследователи. Получив контроль над SAP SolMan, злоумышленник может выключить системы, получить доступ к конфиденциальным данным, удалить данные, вызвать недостатки управления IT-ресурсами и назначить привилегии суперпользователя любому новому или существующему пользователю. «Невозможно перечислить все, что потенциально может быть сделано в системах в случае взлома, поскольку наличие административного привилегированного доступа к системам или запуск команд в ОС по сути обеспечивают злоумышленнику неограниченные возможности», – считают эксперты.