专注于 SAP 和甲骨文应用安全业务的公司 Onapsis 警告称,多数 SAP 系统仍然持续受到一个出现于2005年的安全配置缺陷的影响。
影响所有 SAP Netweaver 版本
Onapsis 公司指出,由于安全配置遭忽视以及对之前安全系统无意识的偏离,导致虽然已针对这些问题发布多个安全事项,但 SAP 系统仍然易受攻击。Onapsis 表示,10个 SAP 系统中有9个系统易受攻击。
这个安全 bug 影响 SAP Netweaver 并可遭远程未认证且对系统拥有网络访问权限的攻击者的利用。针对这个 bug,攻击者能够获得对系统的无限制访问权限,因此能够攻陷平台以及平台上的所有信息、提取数据或关闭系统。
这个漏洞影响所有的 SAP Netweaver 版本。Onapsis 公司指出,由于 SAP Netweaver 是所有 SAP 系统的基石,因此全球共有37.8万名客户受影响。该漏洞存在于每个基于 Netweaver 的 SAP 产品上的默认安全设置中。下一代数字化业务套件 S/4HANA 也受影响。
攻击原理
Onapsis 发布报告详细解释称,经由 ACL (访问控制列表)的保护计划确保 SAP Application Server在 SAP Message Server 内注册运行。注册是通过内部端口 39<xx>(默认3900)执行的,而 SAP 在2010年的一项安全事项中解释称,应该保护这个端口的安全,而且尽可由收信人的应用的 IP 地址可访问。
Message Server ACL 旨在检查“哪些 IP 地址能够注册应用服务器”,它受应该包含对具有特定格式的文件路径的配置参数 (ms/acl_info) 控制。2015年,SAP 在一份安全说明中详细说明了如何正确地配置这个访问文件。
Onapsis 解释称,“尽管如此,这个参数是在默认配置以及 ACL 内容开放的情况下设置的,它允许任何对 SAP Message Server 具有网络访问权限的主机在 SAP 系统中注册一个应用服务器。”
通过利用 SAP 系统上缺乏安全性的 Message Server ACL 配置,攻击者能够注册一个虚假的 Application Server,而后者可被滥用于通过更加复杂的攻击实现完全的系统攻陷。
然而,要成功发动攻击,攻击者需要利用这个错误配置,即访问 ACL 中默认配置下的 Message Server 内部端口的权限。这意味着对 SAP Message Server ACL 的正确配置应该能够缓解和攻击相关联的风险。
修复建议
建议组织机构执行持续监控和合规检测,以确保相关的配置不会影响系统的安全态势,以及执行 SAP 网络安全计划以缩小团队之间存在的差距。
Onapsis 公司的首席技术官 JP Perez-Etchegoyen 表示,“虽然今年人们关注的是新型漏洞如物联网漏洞、Meltdown 和 Spectre,但实际上还悄无声息地活跃着同样严重的影响范围同样广泛的威胁。很多 SAP 系统是相互连接的而且较为复杂,可能下线某个系统以便执行安全的配置可能会对组织机构造成损失。话虽如此,但组织机构有必要确保能够执行这种配置。必须列出升级计划以便把对组织机构的影响降到最低。”