Onapsis和SAP合作的威胁情报显示，他们目前没有发现有客户已经受到此次恶意活动的攻击而造成损失。但是，报告表示SAP客户的环境中仍然有不安全的应用程序，并通过本应在几年前就被打补丁的攻击载体将组织暴露在渗透企图中。

自2020年中期，Onapsis开始记录针对未打补丁的SAP应用的利用尝试以来，该公司的研究人员发现 "在2020年6月至2021年3月期间，来自近20个国家的黑客发起了1500次攻击尝试，成功利用了300次"。

这些攻击背后的黑客利用了SAP应用程序中的多个安全漏洞和不安全配置，试图入侵目标系统。

此外，他们中的一些黑客，同时在攻击中利用多个漏洞进行串联，以 "最大限度地扩大影响和潜在的破坏"。

针对脆弱的SAP应用程序的攻击(SAP/Onapsis)

Onapsis表示，他们观察到黑客可以利用技术来对不安全的SAP应用程序进行完全控制，并且可以绕过常见的安全性和合规性控制，来使攻击者能够通过部署勒索软件或停止企业系统运营来窃取敏感数据、执行财务欺诈或破坏关键任务业务流程。

威胁报告中公布的漏洞和攻击方式如下：

• 针对不安全的高权限SAP用户账户进行蛮力攻击。
• CVE-2020-6287(又名RECON)：一个可远程利用的预认证漏洞，能够使未经认证的攻击者接管脆弱的SAP系统。
• CVE-2020-6207：超危预认证漏洞，可能导致进攻者接管未打补丁的SAP系统。(漏洞已于2021年1月发布在Github上)。
• CVE-2018-2380：使黑客能够升级权限并执行操作系统命令，从而获得对数据库的访问权，并在网络中横向移动。
• CVE-2016-95：攻击者可以利用这个漏洞触发拒绝服务(DoS)状态，并获得对敏感信息的未授权访问。
• CVE-2016-3976：远程攻击者可以利用它来升级权限，并通过目录遍历序列读取任意文件，从而导致未经授权的信息泄露。
• CVE-2010-5326：允许未经授权的黑客执行操作系统命令，并访问SAP应用程序和连接的数据库，从而获得对SAP业务信息和流程的完全和未经审计的控制。

根据CISA发布的警报，受到这些攻击的组织可能会产生以下影响：

• 敏感数据被盗
• 金融欺诈
• 关键任务业务流程中断
• 勒索软件攻击
• 停止所有操作

为脆弱的SAP系统及时打上补丁是所有企业组织目前的首要任务。Onapsis还指出，攻击者在更新发布后的72小时之内就开始瞄准关键的SAP漏洞。