近来，有威胁情报显示，SAP应用程序中的多个安全漏洞和不安全配置正在被黑客频繁利用，特别是对于无法安装补丁的SAP应用系统（SCM、ERP、PLM、CRM等），在攻防实战演练行动期间很容易成为红队的重点“照顾”对象。

以下漏洞请蓝队成员重点关注：

CVE-2020-6287（又名RECON）：可被远程利用的预认证漏洞，能使未经认证的红队攻击者接管脆弱的SAP应用系统。

CVE-2020-6207：超危预认证漏洞，可导致红队攻击者接管未打补丁的SAP应用系统。（漏洞已于2021年1月发布在Github上）。

CVE-2018-2380：使红队攻击者能够提升权限并执行操作系统命令，从而获得对数据库的访问权，并在网络中横向移动。

CVE-2016-95：红队攻击者可以利用该漏洞触发拒绝服务(DoS)状态，并获得对敏感信息的未授权访问。

CVE-2016-3976：红队攻击者可以远程利用其来提升权限，并通过目录遍历序列读取任意文件，从而导致未经授权的信息泄露。

CVE-2010-5326：允许未经授权的红队攻击者执行操作系统命令，并访问SAP应用程序和连接的数据库，从而获得对SAP应用业务信息和流程的完全和未经审计的控制。

红队攻击预警

红队利用上述漏洞，能够：

直接关停靶机系统。

阻碍靶机目标业务的正常运行。

渗透进入蓝队系统窃取关键信息数据。

发起勒索、欺诈等复合性攻击，扰乱蓝队防御体系。

蓝队应对办法

1、对连网的SAP应用系统发起快速安全评估。

2、在许可的条件下安装补丁程序，或进行安全配置。

3、如发现入侵痕迹，需第一时间进行入侵评估，并展开溯源工作。

4、对无法及时采取缓解措施的系统，可考虑快捷部署有效的第三方应用安全防护产品，实现对这些系统的安全保护。

​蓝队同学请记住，攻防演练，情报为先，0-Day漏洞，智能防范！