13年了,多數 SAP 系統仍受安全配置缺陷影響
責編:gltian |2018-05-02 13:25:31專注于 SAP 和甲骨文應用安全業務的公司 Onapsis 警告稱,多數 SAP 系統仍然持續受到一個出現于2005年的安全配置缺陷的影響。
影響所有 SAP Netweaver 版本
Onapsis 公司指出,由于安全配置遭忽視以及對之前安全系統無意識的偏離,導致雖然已針對這些問題發布多個安全事項,但 SAP 系統仍然易受攻擊。Onapsis 表示,10個 SAP 系統中有9個系統易受攻擊。
這個安全 bug 影響 SAP Netweaver 并可遭遠程未認證且對系統擁有網絡訪問權限的攻擊者的利用。針對這個 bug,攻擊者能夠獲得對系統的無限制訪問權限,因此能夠攻陷平臺以及平臺上的所有信息、提取數據或關閉系統。
這個漏洞影響所有的 SAP Netweaver 版本。Onapsis 公司指出,由于 SAP Netweaver 是所有 SAP 系統的基石,因此全球共有37.8萬名客戶受影響。該漏洞存在于每個基于 Netweaver 的 SAP 產品上的默認安全設置中。下一代數字化業務套件 S/4HANA 也受影響。
攻擊原理
Onapsis 發布報告詳細解釋稱,經由 ACL (訪問控制列表)的保護計劃確保 SAP Application Server在 SAP Message Server 內注冊運行。注冊是通過內部端口 39(默認3900)執行的,而 SAP 在2010年的一項安全事項中解釋稱,應該保護這個端口的安全,而且盡可由收信人的應用的 IP 地址可訪問。
Message Server ACL 旨在檢查“哪些 IP 地址能夠注冊應用服務器”,它受應該包含對具有特定格式的文件路徑的配置參數 (ms/acl_info) 控制。2015年,SAP 在一份安全說明中詳細說明了如何正確地配置這個訪問文件。
Onapsis 解釋稱,“盡管如此,這個參數是在默認配置以及 ACL 內容開放的情況下設置的,它允許任何對 SAP Message Server 具有網絡訪問權限的主機在 SAP 系統中注冊一個應用服務器。”
通過利用 SAP 系統上缺乏安全性的 Message Server ACL 配置,攻擊者能夠注冊一個虛假的 Application Server,而后者可被濫用于通過更加復雜的攻擊實現完全的系統攻陷。
然而,要成功發動攻擊,攻擊者需要利用這個錯誤配置,即訪問 ACL 中默認配置下的 Message Server 內部端口的權限。這意味著對 SAP Message Server ACL 的正確配置應該能夠緩解和攻擊相關聯的風險。
修復建議
建議組織機構執行持續監控和合規檢測,以確保相關的配置不會影響系統的安全態勢,以及執行 SAP 網絡安全計劃以縮小團隊之間存在的差距。
Onapsis 公司的首席技術官 JP Perez-Etchegoyen 表示,“雖然今年人們關注的是新型漏洞如物聯網漏洞、Meltdown 和 Spectre,但實際上還悄無聲息地活躍著同樣嚴重的影響范圍同樣廣泛的威脅。很多 SAP 系統是相互連接的而且較為復雜,可能下線某個系統以便執行安全的配置可能會對組織機構造成損失。話雖如此,但組織機構有必要確保能夠執行這種配置。必須列出升級計劃以便把對組織機構的影響降到最低。”