Віддалений доступ до системи SAP опис уразливостей

Xakep #240. Ghidra

Лабораторія Digital Security провела сканування TCP-портів по всій мережі, що показало, що від 5% до 25% користувачів SAP (залежно від типу сервісу) відкривають віддалений доступ до критичних для бізнесу сервісів. В рамках дослідження було проскановано їх підмережі. Кількість відкритих портів оновлюватиметься онлайн на www.sapscan.com — офіційному сайті проекту.

Однією з цілей дослідження було викриття популярного міфу у тому, що системи SAP захищені від хакерів, оскільки доступні лише із внутрішньої мережі. Хоча всі рекомендації SAP і консалтингових компаній свідчать, що навіть у мережі доступ до адміністративних сервісів необхідно строго обмежувати, виявилося, що багато компаній некоректно налаштовують ландшафт SAP, так що критичні сервіси доступні віддалено через інтернет. Іноді причина в банальній некомпетентності, але іноді компанії усвідомлено приймають рішення про те, що їм потрібен легкий контроль, а це грубе порушення правил інформаційної безпеки.

Так, в Україні виявилося 58 систем SAP Router, призначених для управління доступом до внутрішніх систем SAP. SAP Router як такий може бути небезпечно налаштований і дозволяти проникнути всередину компанії, але справжня проблема в тому, що 10% цих компаній залишають відкритими інші сервіси для прямого доступу через інтернет в обхід SAP Router, наприклад, сервіс SAP Dispatcher. Цей сервіс легко експлуатується, якщо увійти до системи під стандартним обліковим записом або скористатися деякими іншими вразливістю, закритими компанією SAP лише у травні 2012 року.

Компанії використовують старі версії SAP

Одним із неприємних відкриттівDigital Security стало те, що компанії використовують старі версії SAP, випущені у 2005 році. Інформація про публічні веб-сервери на основі SAP NetWeaver була зібрана за допомогою пошукових систем Google та Shodan. Аналіз їх версій показав, що найпопулярніша (45%) конфігурація – це SAP-система на основі NetWeaver 7.0 без додатків та оновлень безпеки.

Дослідники Digital Security стурбовані тим, що нові безпечні установки, такі як відключення за замовчуванням більшої частини критичних веб-сервісів, з'явилися тільки в оновленні EHP 2 (Release 7.02). Результати дослідження демонструють, що поява нових налаштувань безпеки в ПЗ не означає, що компанії дійсно ними користуватимуться та покращуватимуть власну безпеку.

Уразливості веб-сервісів SAP

Частина даних була виявлена ​​дослідниками Digital Security не тільки із застосуванням власної розробки – системи моніторингу безпеки SAP ERPScan, а й за допомогою публічних пошукових сервісів, таких як Google та Shodan. Наприклад, 67% систем NetWeaver J2EE і 55% систем NetWeaver ABAP схильні до вразливості розкриття інформації, оскільки віддають детальну інформацію про версії серверів додатків та баз даних. Ця інформація може допомогти хакеру спланувати подальші атаки, і вона вкрай проста для отримання, тому що доступна через загальнодоступні пошукові системи і не вимагає ресурсів на додаткові сканування.

Саккар Паулюс (Sachar Paulus, віце-президент із захисту продукту та безпеки в SAP), сказав в інтерв'ю журналу CIO наприкінці 2008 року: «Одна з найважливіших загроз ERP – це люди, які підключають свої SAP-системи до інтернету». Отже, через чотири роки проблема все ще існує і стрімко зростає.

Говорячи про критичні сервіси, доступні через веб-Інтерфейс, варто відзначити те, що в 40% систем ABAP NetWeaver в інтернеті включений сервіс WebRFC, який дозволяє викликати критичні адміністративні та бізнес-функції. Він захищений логінами та паролями, але існує безліч стандартних облікових записів, які зазвичай не відключаються та паролі на яких не змінюються. На 61% систем J2EE в інтернеті включено CTC. Він схильний до вразливості, яка називається Verb Tampering, дозволяє обходити механізми автентифікації та віддалено створювати в системі користувача з будь-якими правами, і, на жаль, все ще не виправлена ​​в більшості компаній.

Топ-5 найважливіших уразливостей у 2011 році

  1. Обхід автентифікації за допомогою Verb Tampering.
  2. Обхід автентифікації за допомогою Invoker Servlet.
  3. Переповнення буфера у виклику ядра ABAP.
  4. Видалене виконання коду через TH_GREP.
  5. Розкриття JSESSIONID за допомогою консолі SAP Management.

Кількість повідомлень з безпеки SAP за роками

Кількість експлойтів SAP за роками

Інші дані

У звіті міститься 40 сторінок метрик та графіків, а також цікаві інші факти:

● Більшість проблем (69%) мають високий пріоритет, а це означає, що 2/3 вразливостей, що публікуються, необхідно виправляти в найкоротші терміни.

● Пошукова система Shodan виявила в інтернеті 2677 унікальних серверів із різноманітними веб-додатками.

● Найпопулярніші ОС, які використовуються разом із SAP – Windows NT (28%) та AIX (25%).