Onapsis的最新调查发现,当初2005年被发现的一个安全配置漏洞现在仍影响着当前绝大多数的SAP系统。
尽管之前已经有了很多针对这些安全问题的解决方案,但是被忽略的安全配置问题以及操作人员无意间留下的配置错误都会让SAP系统的安全性受到严重影响。Onapsis是一家专门针对SAP系统和Oracle应用程序安全的公司,根据Onapsis的最新研究,目前市场上平均10个SAP系统中就有9个存在这样的安全配置漏洞。
这种安全漏洞会影响SAP Netweaver系统,未经身份验证的攻击者可以远程利用这种漏洞并拿到系统的网络访问权。拿到目标系统的网络访问权之后,攻击者将能够入侵整个网络平台并从其中的硬件系统中提取数据或关闭设备。
所有的SAP Netweaver系统版本都会受到该漏洞的影响,因为SAP Netweaver是所有SAP系统实现的基础,Onapsis表示,目前全球范围内大约有37.8万的用户仍会受到该漏洞的影响。这个漏洞存在于所有以Netweaver为基础实现的SAP产品中,甚至下一代数字商业套件S/4HANA也难以幸免。
在漏洞的详细描述报告中,Onapsis解释称,SAP主要通过ACL(访问控制列表)来实现其保护机制,并确保SAP应用程序服务器的注册是在SAP消息服务器的正常工作下实现的。注册操作的执行使用的是内部端口39<xx>(默认为3900),而SAP在2010年曾发布了一份安全公告,并强调该端口应该添加额外的安全保护,并只能给受信任的应用程序IP地址所访问。
消息服务器ACL主要用于检查哪一个应用程序IP地址可以进行注册,哪一个不可以注册,这一切通过一个配置参数(ms/acl_info)来实现,而这个参数中包含了特定格式的指向目标文件的路径地址。SAP还在2015年发布的一份安全公告中详细介绍了如何正确配置这份文件。
Onapsis解释称,这个参数是使用默认值进行配置的,而且ACL内容也是开放的,因此拥有网络访问权的任意主机都能够在SAP系统的SAP消息服务器中注册一个应用程序服务器。通过利用SAP系统中消息服务器的安全配置缺陷,攻击者能够注册一台伪造的应用程序服务器,并通过服务器实现对目标系统的完全入侵,然后再进行下一步更加复杂的攻击操作。此时,攻击者需要使用ACL中的默认配置访问消息服务器的内部端口,而此时的SAP消息服务器ACL将形同虚设。
因此安全专家建议,各大部署了SAP系统的组织应该对系统中的相关配置进行持续性监测,并不断检测系统中的可疑行为,以确保相关问题不会对整体网络系统产生进一步威胁。
“虽然现在大部分人都将自己的注意力放在了新出现的安全漏洞上,但很多隐藏了多年的安全漏洞可能给我们带来的威胁会更严重,而且受影响范围可能还会更大。也就是说,为了确保自身的安全,组织应该腾出一定的时间和薪资空间来为自己的基础设施制定一系列安全检测和升级计划,并将某些遗留问题所带来的影响降至最低。”