Крупнейшее событие в мире информационной безопасности. Digital Security выбрали конференцию BlackHat, чтобы рассказать миру о новом примере целевой атаки на системы SAP. В своем выступлении эксперты исследовательской лаборатории Digital Security рассказали о сложной многоуровневой атаке на SAP-систему, где используются многочисленные эксплойты, включая уязвимость нулевого дня под названием XML Tunneling – один из подвидов атаки класса SSRF (Server Side Request Forgery, подделка ответа сервера).

«Сейчас очень много говорят о критической инфраструктуре и о вирусах для кибершпионажа. При этом слишком мало информации о бизнес-системах и в частности о возможностях для корпоративного шпионажа и мошенничества, которые открываются при атаке на ERP-системы, такие как SAP. Поскольку в ERP-системе обыкновенно хранится вся критичная для бизнеса информация, конкурент может прибегнуть к промышленному шпионажу и, например, взломать финансовый модуль, где можно найти финансовые отчеты до публикации на бирже. Корпоративные войны более чем вероятны, и некоторые крупные компании могут стать жертвами подобного вредоносного ПО. Не менее вероятны и атаки, нарушающие доступность критичной информации, такие как DoS-атаки», – заявил Александр Поляков, технический директор Digital Security.

Атака, продемонстрированная на BlackHat, представляет собой последовательную эксплуатацию уязвимостей:

• Неавторизованный доступ к веб-сервису модуля SAP PI, позволяющему отправлять XML-пакеты. Сам SAP PI, как правило, доступен через Интернет;
• XML Tunneling – новая техника, позволяющая отправлять любые TCP-пакеты во внутреннюю системы из сети Интернет, пряча их внутри XML-пакетов;
• Переполнение буфера в SAP Kernel.

Таким образом, вся атака поместилась в один XML-пакет, который практически ни одна IDS-система не определила бы как вредоносное ПО. Александр Поляков поделился подробностями данного сценария атаки в интервью для InfosecIsland (видео на английском языке).

«SAP долгое время тесно сотрудничала с компанией-докладчиком, чтобы обеспечить своим клиентам безопасность, и благодаря этому заранее выяснила технические подробности продемонстрированной атаки. Данная презентация посвящена возможному сценарию атаки, эксплуатирующему уязвимости в обработке XML. Такие уязвимости характерны для многих разработчиков ПО, не только для SAP. В результате совместной работы с исследователями нам удалось исправить проблему намного раньше, чем она была обнародована, и еще в июне выпустить обновления безопасности для нее (SAP Security Note 1707494). К июльскому обновлению безопасности мы разработали дополнительные механизмы защиты (SAP Security Note 1723641 и 1721309). Если вы еще не установили эти патчи, SAP настоятельно рекомендует сделать это сейчас», – такое предупреждение SAP AG разместила на своем веб-портале. Корпорация также выпустила эксклюзивное обновление безопасности, посвященное исключительно выступлению Digital Security на BlackHat USA.

«Тем не менее, пользователи SAP не привыкли вовремя устанавливать патчи. Поэтому мы обращаем особое внимание на превентивные меры против атак на SAP-системы. В ERPScan, разработанной нами системе мониторинга безопасности SAP, постоянно добавляются новые

проверки для уязвимостей нулевого дня и советы по их исправлению. Наша система также обнаруживает проблемы в ABAP-коде собственной разработки пользователей SAP, где могут быть не только уязвимости, но и программные закладки (бэкдоры). В ходе аудитов безопасности SAP нам приходилось видеть такие бэкдоры, которые, например, воровали деньги из некоторых платежей в пользу разработчиков», – рассказал Александр Поляков.

В то время как SAP оперативно закрыла обнаруженную уязвимость, две недели назад была обнаружена похожая проблема в Oracle JVM. Это означает, что любая бизнес-система, например Peoplesoft или Oracle EBS, которая работает на движке J2EE и использует XML для передачи данных, может быть уязвима к атакам типа SSRF.

Презентация “SSRF vs. business-critical applications. XXE Tunneling in SAP” на английском языке доступна по этой ссылке.