专栏首页FreeBuf13年前的安全配置缺陷仍影响着目前多数SAP系统

13年前的安全配置缺陷仍影响着目前多数SAP系统

Onapsis的最新调查发现,当初2005年被发现的一个安全配置漏洞现在仍影响着当前绝大多数的SAP系统。

尽管之前已经有了很多针对这些安全问题的解决方案,但是被忽略的安全配置问题以及操作人员无意间留下的配置错误都会让SAP系统的安全性受到严重影响。Onapsis是一家专门针对SAP系统和Oracle应用程序安全的公司,根据Onapsis的最新研究,目前市场上平均10个SAP系统中就有9个存在这样的安全配置漏洞。

这种安全漏洞会影响SAP Netweaver系统,未经身份验证的攻击者可以远程利用这种漏洞并拿到系统的网络访问权。拿到目标系统的网络访问权之后,攻击者将能够入侵整个网络平台并从其中的硬件系统中提取数据或关闭设备。

所有的SAP Netweaver系统版本都会受到该漏洞的影响,因为SAP Netweaver是所有SAP系统实现的基础,Onapsis表示,目前全球范围内大约有37.8万的用户仍会受到该漏洞的影响。这个漏洞存在于所有以Netweaver为基础实现的SAP产品中,甚至下一代数字商业套件S/4HANA也难以幸免。

在漏洞的详细描述报告中,Onapsis解释称,SAP主要通过ACL(访问控制列表)来实现其保护机制,并确保SAP应用程序服务器的注册是在SAP消息服务器的正常工作下实现的。注册操作的执行使用的是内部端口39(默认为3900),而SAP在2010年曾发布了一份安全公告,并强调该端口应该添加额外的安全保护,并只能给受信任的应用程序IP地址所访问。

消息服务器ACL主要用于检查哪一个应用程序IP地址可以进行注册,哪一个不可以注册,这一切通过一个配置参数(ms/acl_info)来实现,而这个参数中包含了特定格式的指向目标文件的路径地址。SAP还在2015年发布的一份安全公告中详细介绍了如何正确配置这份文件。

Onapsis解释称,这个参数是使用默认值进行配置的,而且ACL内容也是开放的,因此拥有网络访问权的任意主机都能够在SAP系统的SAP消息服务器中注册一个应用程序服务器。通过利用SAP系统中消息服务器的安全配置缺陷,攻击者能够注册一台伪造的应用程序服务器,并通过服务器实现对目标系统的完全入侵,然后再进行下一步更加复杂的攻击操作。此时,攻击者需要使用ACL中的默认配置访问消息服务器的内部端口,而此时的SAP消息服务器ACL将形同虚设。

因此安全专家建议,各大部署了SAP系统的组织应该对系统中的相关配置进行持续性监测,并不断检测系统中的可疑行为,以确保相关问题不会对整体网络系统产生进一步威胁。

“虽然现在大部分人都将自己的注意力放在了新出现的安全漏洞上,但很多隐藏了多年的安全漏洞可能给我们带来的威胁会更严重,而且受影响范围可能还会更大。也就是说,为了确保自身的安全,组织应该腾出一定的时间和薪资空间来为自己的基础设施制定一系列安全检测和升级计划,并将某些遗留问题所带来的影响降至最低。”

* 参考来源:securityweek,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Alpha_h4ck

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-05-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一次安全测试引发的对Django框架文件上传安全机制的初步分析

    我司的堡垒机是基于jumpserver 0.3版本进行二次开发,进行了大量的重构和新功能的添加,基本满足了公司安全运维的需求。在对文件上传接口进行安全审计的时候...

    FB客服
  • 提高全员安全意识的6个方向

    很多企业安全部门可能因为将预算和资源都投入到软/硬件安全解决方案的采购与部署,侧重技防,而选择性忽略或者根本没有更多预算投入人防。实际上人防与技防处于同等重要的...

    FB客服
  • 黑客利用GitHub将恶意软件推送至用户电脑以盗取凭据

    几个月前,我们曾发布了有关网络罪犯如何使用GitHub在被黑网站上加载各种加密货币矿工的报告文章。不幸的是即便如此,我们依然没能阻止网络罪犯们的脚步。如今,我们...

    FB客服
  • SAP的竞争战略

    注:本文系作者张贝克带队参加飞诺游学组织的中国制造业企业家参观德国SAP总部后的感悟。未经官方审核,仅代表个人观点。

    人称T客
  • 调研:中国客户对管理软件市场的满意度分析—SAP篇

    虽然SAP有这样或那样的隐性条款,但是我们还是不得不佩服SAP在中国用户心目中的地位,不知道是国内厂商不给力,还是我们崇洋媚外的心里在作怪,SAP在国内的管理软...

    人称T客
  • SAP S/4 HANA与SAP Business Suite/R3(ECC)的区别

    SAP推出了新一代商务套件SAP S/4 HANA,无疑是ERP行业创新的一个重磅消息。那么SAP S/4 HANA是什么呢?它与SAP SAP Busines...

    matinal
  • SAP干倒Oracle报一箭之仇 Q3财报云势头强劲

    SAP在其许多对手在传统企业应用空间内正艰难应对云问题之时发布了一个云收入剧增的财报。 SAP终于长舒一口恶气,这两年被Oracle打压的SAP毫无还手之力,就...

    人称T客
  • SAP运维和SAP实施有什么区别

    从SAP全球的薪资情况来看,目前在美国或欧洲,一个具有一定工作经验、ERP项目经验的SAP实施顾问的年薪基本在8万~10万美元之间,比较资深的可以拿到10万美元...

    matinal
  • SAP运维和SAP实施有什么区别

    从SAP全球的薪资情况来看,目前在美国或欧洲,一个具有一定工作经验、ERP项目经验的SAP实施顾问的年薪基本在8万~10万美元之间,比较资深的可以拿到10万美元...

    matinal
  • 浅谈SAP Fiori的设计美感与发展历程

    还记得那是2013年,SAP就宣布了一套基于HTML5的25个应用程序可以使用,最初把这组使用SAPUI5框架创建的应用程序,称为SAP Fiori,我这里称之...

    matinal

扫码关注云+社区

领取腾讯云代金券