13年前的安全配置缺陷仍影响着目前多数SAP系统

Onapsis的最新调查发现,当初2005年被发现的一个安全配置漏洞现在仍影响着当前绝大多数的SAP系统。

尽管之前已经有了很多针对这些安全问题的解决方案,但是被忽略的安全配置问题以及操作人员无意间留下的配置错误都会让SAP系统的安全性受到严重影响。Onapsis是一家专门针对SAP系统和Oracle应用程序安全的公司,根据Onapsis的最新研究,目前市场上平均10个SAP系统中就有9个存在这样的安全配置漏洞。

这种安全漏洞会影响SAP Netweaver系统,未经身份验证的攻击者可以远程利用这种漏洞并拿到系统的网络访问权。拿到目标系统的网络访问权之后,攻击者将能够入侵整个网络平台并从其中的硬件系统中提取数据或关闭设备。

所有的SAP Netweaver系统版本都会受到该漏洞的影响,因为SAP Netweaver是所有SAP系统实现的基础,Onapsis表示,目前全球范围内大约有37.8万的用户仍会受到该漏洞的影响。这个漏洞存在于所有以Netweaver为基础实现的SAP产品中,甚至下一代数字商业套件S/4HANA也难以幸免。

在漏洞的详细描述报告中,Onapsis解释称,SAP主要通过ACL(访问控制列表)来实现其保护机制,并确保SAP应用程序服务器的注册是在SAP消息服务器的正常工作下实现的。注册操作的执行使用的是内部端口39(默认为3900),而SAP在2010年曾发布了一份安全公告,并强调该端口应该添加额外的安全保护,并只能给受信任的应用程序IP地址所访问。

消息服务器ACL主要用于检查哪一个应用程序IP地址可以进行注册,哪一个不可以注册,这一切通过一个配置参数(ms/acl_info)来实现,而这个参数中包含了特定格式的指向目标文件的路径地址。SAP还在2015年发布的一份安全公告中详细介绍了如何正确配置这份文件。

Onapsis解释称,这个参数是使用默认值进行配置的,而且ACL内容也是开放的,因此拥有网络访问权的任意主机都能够在SAP系统的SAP消息服务器中注册一个应用程序服务器。通过利用SAP系统中消息服务器的安全配置缺陷,攻击者能够注册一台伪造的应用程序服务器,并通过服务器实现对目标系统的完全入侵,然后再进行下一步更加复杂的攻击操作。此时,攻击者需要使用ACL中的默认配置访问消息服务器的内部端口,而此时的SAP消息服务器ACL将形同虚设。

因此安全专家建议,各大部署了SAP系统的组织应该对系统中的相关配置进行持续性监测,并不断检测系统中的可疑行为,以确保相关问题不会对整体网络系统产生进一步威胁。

“虽然现在大部分人都将自己的注意力放在了新出现的安全漏洞上,但很多隐藏了多年的安全漏洞可能给我们带来的威胁会更严重,而且受影响范围可能还会更大。也就是说,为了确保自身的安全,组织应该腾出一定的时间和薪资空间来为自己的基础设施制定一系列安全检测和升级计划,并将某些遗留问题所带来的影响降至最低。”

* 参考来源:securityweek,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

某搜索引擎Self-XSS点击劫持案例分享

在AI横飞的今天,网站页面不挂个聊天机器人都会觉得low,笔者在某搜索引擎的页面上就发现了这样一个聊天AI,无聊一试发现了一个xss。

1033
来自专栏闰土大叔

vue菜鸟从业记:公司项目里如何进行前后端接口联调

最近我的朋友王小闰进入一家新的公司,正好公司项目采用的是前后端分离架构,技术栈是王小闰非常熟悉的vue全家桶,后端用的是Java语言。

1461
来自专栏杨建荣的学习笔记

防火墙开通的自动化尝试和感悟

对于一个从零到一的系统或者平台,你会有几十次几百次的调试,为的是能让系统/平台真正跑起来,用起来。我想这背后需要的坚持真是百般煎熬,一方面希望能够像建造...

1141
来自专栏Python研发

linux入门总结

linux的核心概念知识:      linux软件是开源免费的,而linux是由Unix演变而成,Unix是由MINIX演变而成。 2000年以后,linu...

1502
来自专栏北京马哥教育

实战:基于Python构建运维自动化平台

导语: 今天与大家一起探讨如何基于Python构建一个可扩展的运维自动化平台,也希望能与大家一起交流,共同成长。 此次分享将通过介绍OMServer、OMana...

8015
来自专栏杨建荣的学习笔记

迁移式升级的一点思考 (r10笔记第27天)

目前有一个很实际的需求,因为硬件老化严重,需要能够借助一次维护时机把数据库迁移到一台较好配置的机器上,避免潜在的硬件故障导致的业务停顿,也算防患于未然吧。 本来...

2767
来自专栏Java架构师历程

WebBuilder —— Web 开发平台

WebBuilder是一款跨平台、数据库和浏览器的可视化Web应用开发平台,使用了多项最新的技术,使Web应用的开发更快捷和简单。

9254
来自专栏FreeBuf

中国深圳一家厂商的智能摄像头曝出漏洞:至少 17.5 万设备可被远程攻击

安全企业 Bitdefender 和 Checkmarx 均发布报告表示,安全研究员在多个常用智能摄像头中发现远程侵入漏洞,涉及 VStarcam、Loftek...

3385
来自专栏CSDN技术头条

使用HAProxy、PHP、Redis和MySQL支撑10亿请求每周架构细节

【编者按】在公司的发展中,保证服务器的可扩展性对于扩大企业的市场需要具有重要作用,因此,这对架构师提出了一定的要求。Octivi联合创始人兼软件架构师Anton...

4506
来自专栏企鹅号快讯

使用Redis走进误区,该怎么办?

首先是一个产品线开发人员搭建起了一套庞大的价格存储系统,底层是关系型数据库,只用来处理一些事务性的操作和存放一些基础数据; 在关系型数据库的上面还有一套Mong...

2669

扫码关注云+社区

领取腾讯云代金券