Примечание

Согласно партнерскому соглашению с SAP, мы не имеем право публиковать подробную информацию о найденных уязвимостях до выпуска патчей. Поэтому в данном отчете подробно описаны только те уязвимости, информацию о которых мы имеем право раскрывать на данный момент. Однако дополнительные примеры эксплуатации, доказывающие существование описанных уязвимостей, доступны в презентациях с конференций, а также на сайте ERPScan.ru [1].

Наши исследования безопасности SAP, в том числе статистические, не ограничиваются этим отчетом. Новые статистические данные о SAP-сервисах в Интернете и другие начинания в рамках проекта EAS-SEC [2] доступны на  SAPScan.com [3].

Это исследование было проведено ERPScan, дочерней международной компанией Digital Security, ведущего партнера SAP AG по обнаружению и закрытию уязвимостей. Работа велась в рамках некоммерческого проекта EAS-SEC, созданного для повышения осведомленности в области защиты бизнес-приложений (Enterprise Application Security).

Этот документ в целом и отдельные его части запрещено копировать и распространять без прямого письменного разрешения Digital Security. Компания SAP AG не является ни автором, ни издателем этого документа и не несет за него никакой ответственности. Digital Security не несет ответственности за ущерб, нанесенный кем бы то ни было кому бы то ни было при попытке эксплуатации описанных здесь уязвимостей. В этой публикации содержатся отсылки к продуктам SAP AG. SAP NetWeaver и другие продукты SAP, упомянутые далее, являются торговыми марками или зарегистрированными торговыми марками SAP AG, Германия.

1. Введение

Ядро каждой крупной компании – это ее ERP-система. В ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансами. Вся информация, хранящаяся в ERP-cистемах, имеет огромное значение, и неправомерный доступ к ней может повлечь за собой громадные потери вплоть до остановки бизнеса. Согласно отчету Ассоциации специалистов по расследованию хищений (ACFE), в 2012 году потери организаций от внутреннего фрода составили порядка 5 процентов от ежегодной выручки [4]. Мировые потери от мошенничества оцениваются более чем в 3,5 трлн долларов в 2010–2012 гг. [5] Таким образом, в среднем организация теряет 5% годового дохода из-за мошенничества. Среднее значение за 4 года составляет 6 %. Вот почему мы решили провести детальное исследование в области безопасности SAP.

Потери от внутреннего мошенничества в среднем составляют 6% от годовой прибыли

Когда-то распространенный миф о том, что безопасность ERP – это только матрица SoD, исчерпал себя и уже кажется историей давно минувших дней. В течение последних 7 лет специалистами в области безопасности SAP было представлено множество подробных докладов о различных атаках на внутренние подсистемы SAP: на протокол обмена данными RFC, на систему разграничения доступа SAProuter, на веб-приложения SAP и на клиентские рабочие станции под управлением SAP GUI [6]. Интерес к этой теме растет экспоненциально: в 2006 году был представлен всего 1 доклад [7] о SAP на технической конференции по взлому и безопасности, в то время как в 2011 году их было уже более 20. В 2013 году популярность этой темы вдохновила исследователей более чем на 30 различных отчетов и статей. Кроме того, выпускаются разнообразные инструменты для взлома, что доказывает возможность атак на SAP [8], [9], [10].

Согласно статистике уязвимостей в бизнес-приложениях, за 2009 год было устранено более 100 уязвимостей в продуктах SAP, тогда как за 2010 год их было уже более 500.  А всего на конец 2013 года насчитывается более 2800 SAP Security Notes – уведомлений об уязвимостях в тех или иных компонентах SAP.

Большинство уязвимостей в SAP позволяет неавторизованному пользователю получить доступ ко всем критическим бизнес-данным, поэтому необходим обзор основных направлений атак и способов обеспечения безопасности этих систем

1.1. Новые тенденции корпоративной безопасности

Тенденции развития инфраструктуры компаний в последнее время движутся от децентрализованной модели к интеграции всех бизнес-процессов в одно целое. Если раньше в компании было множество серверов, таких как почтовый, файловый, контроллер домена и прочие, то сейчас все эти функции интегрируются в единое бизнес-приложение, чем обеспечивают, с одной стороны, удобство доступа, а с другой, единую точку отказа. В бизнес-приложениях и в ERP-системах хранятся все критичные данные компании, начиная от финансовой отчетности и персональных данных и заканчивая списками контрагентов и объектами корпоративной тайны. Для внешнего злоумышленника или инсайдера такая система представляет собой основную мишень, и его конечная цель – это отнюдь не права администратора на контроллере домена.

Тем не менее, сейчас многие специалисты по безопасности, к сожалению, крайне поверхностно осведомлены о защите таких бизнес-приложений, как SAP. Другая проблема состоит в том, что функции обеспечения безопасности лежат не на CISO, а на владельцах системы, которые фактически контролируют сами себя. В итоге за безопасность наиболее критичных элементов системы никто не отвечает.
Из других значимых проблем также стоит отметить:

• Отсутствие квалифицированных специалистов

SAP-специалисты большинства компаний считают безопасность SAP только проблемой разграничения доступа, со стороны же службы безопасности понимание угроз SAP в лучшем случае поверхностно, и тем более отсутствует представление о тонкой настройке системы. 

• Огромное количество настроек

В стандартных настройках системы более 1000 параметров, а также масса тонких настроек, не говоря уже о разграничении прав к различным объектам, включая транзакции, таблицы, RFC-процедуры и прочее. Например, одних только веб-интерфейсов для доступа к системе может быть несколько тысяч. Задача обеспечения безопасности даже одной такой системы может быть непростой.

• Кастомизируемые настройки

Вряд ли найдутся две одинаковые SAP-системы, поскольку большая часть настроек адаптируется под заказчика.  Кроме того, разрабатываются свои программы, безопасность которых также следует учитывать при комплексной оценке.

Цель данного отчета – представить высокоуровневый обзор безопасности SAP в цифрах, чтобы вывести данную проблему с теоретического уровня на практический, основываясь на реальных данных и измерениях: начиная от информации о количестве обнаруженных проблем и их популярности и заканчивая количеством уязвимых систем, согласно результатам сканирования всей Сети [3].

2. Краткие результаты

Уязвимости

• Известные уязвимости постепенно исправляются, но появляются новые проблемы. SAP приобретает компании и разрабатывает новые технологии быстрее, чем исследователи анализируют их
• Количество уязвимостей, обнаруживаемых за год, снижается по сравнению с пиком в 2010 г., но они становятся более критичными
• 69 % проблем, закрываемых SAP, помечены как критические
• Топ-5 уязвимостей этого года более критичны, чем топ-5 2012 г. Почти все они имеют CVSS, равный 10 (самый высокий показатель)

Интерес

• Число компаний, обнаруживающих проблемы в SAP, растет (в 2 раза по сравнению с прошлым годом), и процент проблем, обнаруженных при помощи внешних исследователей, становится все выше

Интерес к безопасности платформы SAP растет экспоненциально, и не только среди whitehats – «этичных хакеров». Системы SAP могут стать мишенью как для прямого нападения (например, т.н. APT, Advanced Persistent Threat), так и для массовых атак благодаря целому ряду легко эксплуатируемых и повсеместно установленных SAP-служб и приложений, доступных из Интернета.

Внешние проблемы безопасности

• Было обнаружено почти 5000 систем SAProuter, и 85 % из них уязвимы к удаленному выполнению кода
• Почти на 30 % больше интернет-решений SAP (на 90 % больше систем SAP Portal)
• Резкий рост доли стран Латинской Америки и Азии в интернет-решениях SAP
• Самая популярная версия (35 %) – по-прежнему NetWeaver 7.0, выпущенная в 2005 году
• Треть веб-служб SAP, доступных из Интернета, вовсе не использует SSL
• Число разнообразных административных SAP-сервисов, доступных из Интернета, снизилось в 3–5 раз (в зависимости от конкретного сервиса), но по-прежнему велико

Внутренние проблемы безопасности

• Число административных сервисов с критическими уязвимостями, доступными изнутри компании, чрезвычайно велико (30–95 % в зависимости от сервиса)
• Только в 10 % систем включены журналы аудита безопасности
• Внутреннее мошенничество и бэкдоры,  написанные на языке ABAP, набирают большую популярность

Защита

[+] Безопасность SAP в конфигурации по умолчанию становится намного лучше

[+] SAP вкладывает деньги и ресурсы в безопасность, разрабатывает руководства и организует конференции

[–] К сожалению, пользователи SAP по-прежнему уделяют мало внимания безопасности

Прогноз

• В безопасности SAP в ближайшее время будет оставаться много неохваченных областей
• SAP Forensics (расследование инцидентов) может стать новой исследовательской областью, так как сейчас обнаружить свидетельства инцидента в системе нелегко, даже если таковые присутствуют
• Новые типы целевого кибероружия, направленные на ERP-системы, могут появиться в ближайшее время

3. Статистика уязвимостей

В данном разделе содержится информация об уязвимостях в SAP, ранжированных по таким критериям, как популярность, критичность и наиболее уязвимые системы. Также представлен топ-5 самых важных из доступных публично уязвимостей.

3.1. Количество уведомлений о безопасности SAP

Каждый месяц в День критических патчей SAP (второй вторник месяца), выпускается в среднем около 30 так называемых уведомлений безопасности SAP (SAP Security Notes). В них, как правило, хранится информация об одной или более уязвимостях в продуктах SAP или ошибках конфигурации, которые представляют риск для систем SAP. Первое уведомление безопасности SAP было опубликовано в 2001 году. В 2007 году количество опубликованных уведомлений начало расти экспоненциально.

На 1 сентября 2013 г. опубликовано 2718 уведомлений безопасности SAP

Рис. 3.1–1 Количество уведомлений безопасности SAP по годам
* Информация актуальна на 1 сентября 2013. К тому моменту было опубликовано 2718 уведомлений безопасности

В течение 2011 года в День критических патчей обычно публиковалось примерно 61 уведомление безопасности SAP. В 2012 году их число уменьшилось до 54 и к середине 2013 года достигало в среднем 29 в месяц. Если сравнивать с другими производителями, то это больше, чем у Microsoft, Oracle и Cisco. Стоит отметить, что всего 4 года назад (в 2009 г.) их было намного меньше (примерно в 6 раз).

Рис. 3.1–2 Среднее количество уведомлений безопасности, выпускаемых каждый месяц в разные годы

Из этих двух графиков можно сделать вывод, что количество уведомлений безопасности снижается после пика в 2010 году. Тем не менее, их количество по-прежнему огромно, и, как можно увидеть ниже, процент критических уязвимостей растет.

3.2. Уведомления о безопасности SAP по критичности

SAP использует 5 уровней критичности для своих уведомлений:

1 – Сенсация
2 – Высокий приоритет
3 – Средний приоритет
4 – Низкий приоритет
5 – Рекомендации/дополнительная информация

Большинство проблем (69 %) имеют высокий приоритет, а это означает, что около 2/3 публикуемых уязвимостей необходимо исправлять быстро

Рис. 3.2–1 Количество уведомлений о безопасности SAP по уровню критичности
Сравнение: 2011 – выделены светлым, 2013 – выделены темным

Рис. 3.2–2 Количество высокоприоритетных уведомлений безопасности SAP по годам

Рис. 3.2–3 Количество низкоприоритетных уведомлений безопасности SAP по годам

Можно заметить, что общее количество уязвимостей, найденных в SAP, снижается, но исследователи переключились на поиск критичных уязвимостей.

3.3. Уведомления о безопасности SAP по типу

Мы проанализировали все опубликованные уведомления о безопасности SAP по популярности. Самые популярные проблемы представлены на графике:

Рис. 3.3–1 Уведомления о безопасности SAP по типу

3 наиболее распространенных типа уязвимостей охватывают 42 % (было 41 %) всех обнаруженных уязвимостей

Около 20 % уязвимостей не вошли в этот рейтинг, так как в системах SAP много уникальных проблем. Некоторые из них описаны в нашей презентации «Топ-10 наиболее интересных уязвимостей в SAP» [10].

Кроме того, мы сравнили списки популярных уязвимостей в SAP для 2012 и 2013 года с OWASP Top 10. Есть ли различия между уязвимостями веб-систем и бизнес-приложений, и есть ли какая-либо динамика?

Как видно, положение несколько изменилось. Мы можем только гадать, какова основная причина этих изменений, поскольку к ним могли привести много разных факторов, и числа могут быть не очень репрезентативны. Но есть несколько предположений.

Основными факторами, которые могут оказывать влияние на эти числа, являются:

• Растущее число веб-приложений и, таким образом, все большее число веб-уязвимостей
• Усовершенствование инструментов статического анализа кода программного обеспечения, благодаря которому снижается количество проблем, которые можно легко найти с помощью простых регулярных выражений. С другой стороны, растет количество проблем, требующих более точного статического анализа кода, включая анализ потока данных

Вывод:

• Рост количества XSS-уязвимостей предсказуем из-за популярности веб-приложений, особенно приложений J2EE-стека, а также из-за усовершенствования инструментов статического анализа кода
• Снижение количества уязвимостей обхода каталога предсказуемо из-за того, что их легко найти и большинство из них уже найдены. Кроме того, компания SAP добавила некоторые новые механизмы и дополнительные проверки авторизации в новые версии продуктов, чтобы повысить защищенность от уязвимостей обхода каталога
• Количество SQL-инъекций растет из-за высокой степени их опасности. Кроме того, любые инъекции легче обнаруживаются более развитыми инструментами статического анализа кода
• С другой стороны, такая проблема, как предопределенные аутентификационные данные, еще долго не потеряет актуальности. Большое число уязвимостей этого типа уже найдено с помощью простых регулярных выражений, а другие будут «жить» необнаруженными в системах годами
• Некоторые области безопасности веб-приложений и ERP-систем сильно отличаются. Это служит еще одним доказательством того, что бизнес-приложениям нужен особый подход и особые приоритеты в выстраивании процессов SDLC

3.4. Количество благодарностей сторонним исследователям

В 2010 году компания SAP приняла решение благодарить сторонних исследователей безопасности за уязвимости, найденные в ее продуктах [12]. На рисунке показано количество уязвимостей, обнаруженных внешними исследователями с 2010 года.

Рис. 3.4–1 Количество благодарностей сторонним исследователям по годам

В 2010 году было всего 16 компаний, которые получили благодарности от SAP, но к середине 2013 года мы насчитали 46 различных компаний и 3 независимых исследователей, что в 3 раза больше.

Рис. 3.4–2 Количество уведомлений безопасности SAP по годам

SAP уже поблагодарила внешние компании и исследователей за помощь в обнаружении 353 уязвимостей в продуктах SAP. Большинство компаний нашли по одной уязвимости, тогда как специалистами компании ERPScan была найдена почти четверть всех уязвимостей, а точнее, 83 (намного больше, чем у любой другой команды исследователей).

Правило 80/20 работает почти идеально. 80 % уязвимостей были обнаружены 17,5 % компаний.

Рис. 3.4–3 Процент благодарностей по сравнению с числом компаний

Растет соотношение числа уязвимостей, найденных внешними исследователями, и уязвимостей, обнаруженных силами SAP. Также увеличивается количество внешних исследователей.

Рис. 3.4–4 Доля благодарностей сторонним исследователям по годам

О чем еще здесь стоит упомянуть? В последнее время мы стали все чаще получать от SAP PSRT в ответ на информацию об очередной уязвимости сообщение, что она уже исправлена. Этому есть два возможных объяснения, и каждое из них является хорошей новостью для пользователей SAP. Во-первых, SAP AG существенно улучшила свой внутренний цикл безопасной разработки (SDLC) и процесс исследования уязвимостей, поэтому некоторые проблемы SAP находит самостоятельно. Во-вторых, иногда два разных исследователя одновременно открывают новую уязвимость, и это означает, что число исследователей активно растет.

Рекордное количество уязвимостей было обнаружено внешними исследователями

Рис. 3.4–5 Количество дублирующихся проблем, обнаруженных исследователями из ERPScan, по годам

3.5. Количество информации, доступной публично

Наибольшую опасность представляют уязвимости, информация об эксплуатации которых (подробное описание уязвимости, PoC-эксплойты или полноценные эксплойты) доступна онлайн. Мы собрали информацию из следующих популярных источников:

SecurityFocus [13] – здесь можно найти детальное описание, иногда PoC-эксплойт. Все уязвимости в этой базе имеют высокую вероятность эксплуатации. По состоянию на 1 сентября 2013 г., здесь были найдены подробности о 149 уязвимостях (5,5 % от общего количества).

Рис. 3.5–1 Количество уязвимостей в год на SecurityFocus

Exploit-DB [16] – здесь расположены готовые эксплойты, которыми можно пользоваться, не внося изменений и не имея никаких знаний об эксплуатации соответствующей системы. Все уязвимости в этой базе имеют критичную вероятность использования. По состоянию на 1 сентября 2013 г., здесь были найдены 49 эксплойтов (1,8 % от общего количества уязвимостей).

Рисунок 3.5–2 Количество эксплойтов в год на Exploit-DB

На графике ниже уязвимости отсортированы по вероятности и простоте эксплуатации, согласно количеству информации, которая доступна хакерам в публичных источниках, а не в закрытых уведомлениях безопасности SAP.

Рис. 3.5–3 Уязвимости в SAP по вероятности и простоте эксплуатации (по состоянию на 1 сентября 2013)

3.6. Топ-5 самых важных уязвимостей в 2012 году

Из множества опубликованных уязвимостей мы выбрали Топ-5 проблем, представляющих наибольшую угрозу:

• SAP NetWeaver J2EE – SSRF в DilbertMSG [17]
• SAP Host Control – Инъекция кода [18]
• SAP NetWeaver J2EE – Чтение/запись файлов [19]
• SAP Message Server – Переполнение буфера [20]
• SAP Dispatcher – Переполнение буфера в протоколе DIAG [21]

Мы выбрали 2 основных фактора среди прочих, позволяющих понять ценность уязвимостей, обнаруженных в 2012 году:

• Доступность – один из основных факторов. Означает, можно ли эксплуатировать уязвимость из Интернета без пользовательской авторизации.
• Критичность – насколько критичен будет вред, причиненный системе.

1. SAP NetWeaver J2EE – SSRF в DilbertMSG

Уязвимость была найдена в XML-парсере движка SAP NetWeaver J2EE. Фактически, это несколько уязвимостей, которые ведут к атаке типа SSRF (Server Side Request Forgery, подделка запросов на стороне сервера), позволяющей анонимному злоумышленнику из сети Интернет отправлять любые TCP-пакеты в любую внутреннюю сеть, а также читать файлы ОС, минуя защиту сервера сообщений, проводить атаки типа «отказ в обслуживании» и многое другое. Этот тип атаки, возможно, не так критичен, как другие, которые будут представлены ниже, но ее открытие знаменует собой актуализацию нового типа проблем, и аналогичные бреши в безопасности могут появиться в будущем.

2. SAP Host Control – Инъекция кода

Эта уязвимость была обнаружена в сервисе SAP Host Control движка ABAP SAP NetWeaver. Этот сервис по умолчанию слушает TCP-порт 1128. Данная уязвимость позволяет анонимному злоумышленнику выполнить любую команду операционной системы путем инъекции в пакет SOAP. Таким образом, данная уязвимость может быть использована только в случае, если SAP установлен поверх базы данных MaxDB. Данная уязвимость занимает второе место в нашем списке по следующим причинам: простота использования, возможность эксплуатации через Интернет, огромное количество видимых и доступных через интернет сервисов Host Control.

3. SAP NetWeaver J2EE – Чтение/запись файлов

Данная уязвимость была найдена в стеке SAP NetWeaver J2EE и позволяет анонимному злоумышленнику получить права доступа к чтению и записи любого файла в операционной системе. Критичность данной уязвимости – 10 баллов по шкале CVSS. И только по двум причинам мы помещаем эту уязвимость лишь на третье место в нашем списке. Во-первых, уязвимый сервис доступен только внутренним службам, а во-вторых, в сети нет официальных опубликованных данных на тему того, как можно воспользоваться данной уязвимостью.

4. SAP Message Server – Переполнение буфера

Уязвимость, найденная в сервисе SAP Message Server, основана на удаленном переполнении буфера и дает возможность исполнения любого кода на уровне операционной системы с правами <SID> администратора. Уязвимость была продана в Zero Days Initiative, а ее критичность оценивается в 10 балов из 10 по шкале CVSS. Еще одним критическим моментом является то, что данные об этой уязвимость могут легко утечь в сеть и распространится по всему Интернету.

5. SAP Dispatcher – Переполнение буфера в протоколе DIAG

SAP Dispatcher – это основной сервис клиент-серверных коммуникаций в SAP. Он позволяет подключаться к SAP NetWeaver с помощью приложения SAP GUI по протоколу DIAG. Другая проблема, обнаруженная некоторое время назад компанией Core Security, заключается в том, что сервис SAP Dispatcher имеет множественные уязвимости переполнения буфера, которые могут привести к атаке типа «отказ в обслуживании», а одна из них к тому же позволяет выполнение кода [22].

9 мая был опубликован код эксплойта, и теперь неавторизованный злоумышленник может эксплуатировать уязвимость без каких-либо прав в системе. Хорошая новость состоит в том, что уязвимость работает только при условии включенной трассировки DIAG на уровне 2 или 3 – по умолчанию значение другое.

4. Рост интереса

Тенденции информационной безопасности в настоящее время фокусируются в основном на мобильных приложениях, облачных сервисах, социальных сетях и критичных объектах инфраструктуры, которые, возможно, станут целью злоумышленников в ближайшем будущем. Однако существует и такая область, как безопасность ERP-систем, и эти системы находятся под угрозой уже сейчас. Поэтому неудивительно, что растет число компаний, которые занимаются безопасностью ERP-систем и разрабатывают ПО для аудита их безопасности. В то же время постоянно появляются новые компании, которые предлагают специализированные консалтинговые услуги в области безопасности ERP-систем.

4.1. Количество докладов по безопасности на конференциях

С 2006 года вопросам безопасности SAP уделялось все больше внимания на узкоспециализированных конференциях по ИБ, включая BlackHat, HITB и т. п. Уже в 2004 году в некоторых докладах, например от Phonoelit, шла речь об исследованиях, затрагивающих безопасность SAP.ИБ, включая BlackHat, HITB и т. п. С 2010 года эта тенденция распространилась и на другие конференции; все больше компаний и исследователей стали проявлять интерес и публиковать свои открытия в области безопасности SAP. С 2006 по 2009 годы большая часть докладов фокусировалась на классических угрозах информационной безопасности в SAP-ландшафтах, таких как безопасность веб-приложений SAP, безопасность клиентской части SAP, описание бэкдоров и троянов, написанных специально под SAP. В последнее же время фокус конференций все больше смещается в сторону ретроспективных обзоров и таких направлений защиты SAP, как расследование инцидентов (Forensics).

В течении последних десяти лет практически не осталось ни одного компонента SAP, которую не взламывали или не пытались взломать. Исследователи успели обсудить защищенность почти каждой области SAP.

Начиная с 2003 г. практически все части SAP находились под угрозой атак, и каждый такой случай был поводом для обсуждения на технических конференциях

Рис. 4.1–1 Количество докладов по безопасности SAP на различных конференциях по годам (Данные получены с веб-сайтов различных конференций и актуальны на 15 августа 2013 года)

5. SAP в Интернете

Среди людей, работающих с SAP, бытует мнение, что SAP-системы существуют отдельно и изолированы от Сети, поэтому все уязвимости в SAP могут эксплуатироваться только инсайдерами.

Однако бизнес-приложения доступны не только из внутренней сети – это миф, который был реальностью десять лет назад, когда вся информация о компании могла храниться на одном отдельном сервере. Бизнес не стоит на месте, и компаниям жизненно необходимы сетевые соединения между различными приложениями. Крупным корпорациям нужно быть на связи  через глобальную сеть с филиалами по всему миру, обмениваться данными с клиентами посредством веб-порталов, систем SRM и CRM, иметь доступ к информации из любой точки мира, используя мобильные решения.

Практически все бизнес-приложения подключены к сети

Цель, которую мы ставим перед собой в этой части отчета, – разрушить упомянутый миф. Для этого мы продемонстрируем, какие сервисы доступны удаленно, каким компаниям они принадлежат и насколько они уязвимы.

5.1. Результаты поиска через Google по странам

Эта статистика была собрана с помощью несложных запросов в поисковой системе Google [31].

В результате сканирования было обнаружено 695 (ранее 610) уникальных серверов с различными веб-приложениями SAP. Это на 14 % больше, чем в 2011 г., принимая во внимание тот факт, что 22 % сервисов, созданных в 2011 г., недоступны на данный момент, и в то же время появилось порядка 35% новых сервисов. Очевидно, что самая популярная платформа – J2EE. К сожалению, такие серверы более уязвимы, чем движок ABAP, так как на данной платформе существуют как минимум 3 разных уязвимости, которые могут быть использованы анонимно и предоставить полный доступ к системе. Однако не стоит забывать, что в движке ABAP по умолчанию предустановлено множество пользовательских учетных записей со стандартными логинами и паролями [32], что предоставляет хакерам широкие возможности. В то же время, для SAP BusinessObjects актуальны обе из вышеописанных проблем.

Рис. 5.1–1 Серверы приложений по типу

Рис. 5.1–2 Серверы приложений по странам

Рис. 5.1–3 Общее количество серверов приложений SAP, найденных с помощью Google, сортировка по странам (Топ-20)

5.2. Результаты поиска в Shodan по странам

В качестве второго ресурса для поиска веб-интерфейсов SAP в сети Интернет был выбран www.shodanhq.com. Особенность этого сервиса состоит в том, что он не только находит приложения, которые были проиндексированы поисковыми роботами, но также сканирует всю Сеть на наличие открытого 80-го (и не только) порта, что делает его весьма полезным для дополнительного поиска SAP-систем.

Рис. 5.2–1 Серверы приложений по типу

Платформа SAP NetWeaver J2EE на данный момент, без сомнений, является наиболее популярной в Сети и продолжает набирать обороты. В соответствии со статистикой сервиса ShodanHQ, количество расположенных в Сети систем SAP Portal удвоилось всего за год.

Рис. 5.2–2 Рост по серверам приложений

Рис. 5.2–3 Серверы приложений по странам (по данным ShodanHQ)

Рис. 5.2–4 Общее количество серверов приложений SAP, найденных с помощью ShodanHQ, сортировка по странам (топ-20)

Статистика, собранная по странам, использующим веб-приложения SAP, также дает нам весьма интересную картину, особенно если сравнить ее с цифрами прошлого года. В соответствии с этими данными, наибольший рост количества веб-серверов SAP наблюдается в странах Латинской Америки и Азии.

Рис. 5.2–5 Рост количества веб-серверов SAP (топ-5)

5.3. Сетевой сканер Census

В 2012 году неким анонимным исследователем был запущен весьма интересный проект – Census. При помощи, в том числе, нелегальных технологий, таких как устройства для эксплуатации уязвимостей, он просканировал самые популярные порты по всей Сети. Вся информация, собранная сканером, была выложена в открытый доступ. Применительно к предмету нашего исследования, сканер был полезен для 80 порта. Итак, Census нашел 3326 IP-адресов с установленными веб-приложениями SAP, что примерно соответствует цифре, полученной от сервиса ShodanHQ. Также зафиксированная при помощи Census информация позволяет нам делать выводы об использовании SSL. Итак, в соответствии с этими данными, порядка трети приложений SAP, взаимодействующих с Интернетом, вообще не используют протокол SSL.

Рис. 5.3–1 Использование SSL в приложениях SAP

5.4. Результаты сканирования портов по странам

Самая интересная и сложная часть нашего исследования посвящена сканированию Сети не только на наличие веб-сервисов, но и сервисов, которые вообще не должны быть доступны через Интернет.

На данной стадии эта задача выполнялась посредством простого алгоритма, который сканировал только подсети серверов, найденных через Google и ShodanHQ (что составило около 1000 подсетей). Мы нашли большое количество портов, которые прослушиваются такими сервисами SAP, как Message Server HTTP, SAP Gateway и SAP Host Control. В процессе сканирования была собрана информация по SAP-сервисам, находящимся в открытом доступе, включая SAP Host Control, SAP Dispatcher, SAP Message Server и SAP Management Console.

Рис. 5.4–1 Данные о количестве серверов приложений SAP по странам (сканирование портов с помощью Nmap)

На диаграмме показан процент компаний, которые открывают доступ к Сети для различных некритичных SAP-сервисов. Данные о количестве открытых портов периодически обновляются на sapscan.com [3] – официальном сайте данного проекта.

10 % компаний, использующих SAP, делают доступными непосредственно в Сети такие критичные сервисы, как Gateway или Dispatcher, обходя защиту SAProuter

Рис.  5.4–2 Процент компаний, открывающих доступ в Сеть для SAP-сервисов

6. Версии SAP

Мы проверили, какие версии движков ABAP и J2EE чаще всего присутствуют в Интернете, чтобы получить представление о жизненном цикле продуктов SAP и выяснить, какие версии продуктов популярны сейчас. Мы также оценили, какие ОС и СУБД используются совместно с системами SAP чаще всего.

6.1 Версии движка ABAP

Чтобы узнать версии ABAP, мы подключались к корневой директории сервера приложений и анализировали HTTP-ответы. Мы также воспользовались уязвимостью раскрытия информации. Версию же SAP NetWeaver можно легко узнать, если приложение настроено небезопасно и позволяет атакующему извлекать информацию из URL запроса /sap/public/info. На данном этапе мы можем с удовлетворением констатировать, что, по сравнению с прошлым годом, значительно снизилось количество подключенных к Сети SAP-приложений с уязвимостями разглашения информации.

После сканирования всех доступных серверов SAP NetWeaver ABAP удалось выяснить, что 6 % (ранее 59 %) уязвимы для атак на раскрытие информации

Использование актуальных версий жизненно важно для ИБ. Например, лучшие настройки безопасности, такие как отключение доступа ко всем веб-сервисам, доступны по умолчанию в обновлении EHP 2. Но EHP 2 установлена только на 23 % (ранее 11 %) от всех серверов. Это означает, что, даже несмотря на заботу компании SAP о безопасности своих систем, усилия разработчиков зачастую оказываются напрасны, если в процесс по улучшению безопасности SAP не включаются администраторы.

На данный момент наиболее популярной версией NetWeaver (35 % от общего числа, ранее 45 %) является версия 7.0, выпущенная еще в 2005 году!

Рис. 6.1–1 Версии NetWeaver ABAP в порядке популярности

Если мы сравним эти данные с 2012 годом, мы можем констатировать положительную динамику в увеличении количества установленных версий 7.3 и 7.2, что, однако, пока что является лишь каплей в море на общем фоне используемых версий.

6.2 Версии движка J2EE

Информацию о версии движка J2EE можно легко найти, прочитав отклик HTTP. Однако подробная информация о версии патча также становится доступной, если сервер приложений настроен некорректно и позволяет атакующему просматривать информацию с некоторых страниц. Например, как минимум эти три страницы раскрывают информацию о движке J2EE:

Подробная информация о версиях продуктов представлена ниже.

Рис. 6.2–1 Версии NetWeaver JAVA в порядке популярности

Опять-таки, если сравнивать эти данные с 2012 годом, можно отметить ряд позитивных изменений. Так, самые новые версии, такие как 7.31 и 7.3, представлены на 12 % от всех серверов. Детали в таблице:

6.3 Популярные ОС для SAP

Используя URL /sap/public/info, можно получить информацию о версиях ОС, где развернут ABAP. Анализ результатов поиска по SAP-системам, которые имеют выход в Интернет, показал, что самые популярные ОС – Windows NT (28%) и AIX (25%). Наша статистика, собранная в процессе внутренних аудитов SAP, показывает большую популярность систем *.NIX, хотя в системах, имеющих подключение к Сети, лидирует Windows.

Наиболее популярными ОС для SAP являются Windows NT (28 %) и AIX (25 %)

Рис. 6.3–1 ОС, используемые для SAP, в порядке популярности

6.4 Популярные СУБД для SAP Backend

Самой популярной СУБД до сих пор является Oracle – порядка 59 % от общего количества. Другие СУБД перечислены ниже:

Рис. 6.4–1СУБД для SAP Backend в порядке популярности

Нельзя не обратить внимания на то, что СУБД Oracle, установленная вместе с SAP, уязвима к очень опасной атаке, где обходится авторизация и неавторизованный пользователь получает прямой доступ к базе данных без каких-либо аутентификационных данных, из-за некорректного использования параметра REMOTE_OS_AUTHENT. Это очень старая проблема, детали которой были опубликованы еще в 2002 году, но она продолжает оставаться актуальной и по сей день [36].

7. Критичные сервисы в Интернете

Помимо веб-интерфейсов, которые должны быть доступны в Сети из-за различных бизнес-требований (решения SAP Portal, SAP SRM или SAP CRM), существуют сервисы, которые вообще не должны быть доступны извне. Более того, их использование опасно, поскольку они имеют уязвимости и ошибки конфигурации, хорошо известные и описанные в открытых источниках. Конечно, мы не приводим полный список критичных сервисов SAP, ограничиваясь только самыми популярными из них. Для данного исследования было просканировано порядка 1000 подсетей компаний, использующих SAP.

Сервисы наподобие SAP Dispatcher, SAP Message Server, SAP Host Control и другие, о которых пойдет речь дальше, не должны быть открыты для доступа через Сеть!

7.1 SAProuter

SAProuter – это специальный сервис, созданный SAP для различных целей, среди которых:

Основной целью данного сервиса является получение новейших обновлений для SAP и их удаленная установка. Помимо этого, он также обеспечивает доступ к сервисам Earlywatch. Таким образом, каждая компания, использующая SAP, должна установить SAProuter. Существует несколько способов его инсталляции, включая настройку доступа к SAP через VPN или открытие удаленного доступа SAProuter в Сеть, по умолчанию – к известному всем порту 3299. Больше об этом можно прочесть на Easy Service Marketplace [37].

Как показывает анализ систем SAProuter, сконфигурированных путем открытия порта на SAP-роутеров, 99 из 1000 участвовавших в исследовании были подключены через порт, используемый по умолчанию. Что составляет 10% от общего числа (раньше этот процент достигал 32).

Данные, полученные в процессе этого исследования, показались нам недостаточными, поэтому мы запустили новый проект с целью выяснить, сколько всего систем SAProuter доступно в Сети. В первую очередь нас интересовало, какой процент из них был уязвим для существующих проблем и в особенности для одной крайне критичной уязвимости, найденной командой исследовательской лаборатории ERPScan. Данная уязвимость позволяет захватить полный контроль над SAProuter при помощи одного TCP-пакета и, таким образом, получить доступ к внутренней корпоративной сети. Проблема была закрыта в мае 2013 года, а детали есть в уведомлении безопасности SAP № 1820666. Мы решили подсчитать количество маршрутизаторов SAProuter, так и оставшихся уязвимыми через 6 месяцев после выпуска патча.

Итак, вот о чем свидетельствуют результаты сканирования:

 Существует отдельное уведомление безопасности, относящееся к SAProuter, – 1895350. 

7.2 Сервис WebRFC в составе NetWeaver ABAP

WebRFC – это веб-сервис, по умолчанию доступный на платформе SAP NetWeaver ABAP. Он позволяет выполнять опасные функции RFC с помощью HTTP-запросов на порт NetWeaver ABAP и к странице /sap/bs/web/rfc. Некоторые из этих функций критичны, например:

По умолчанию у любого пользователя есть доступ к этому интерфейсу и возможность выполнить команду RFC_PING, отправив XML-пакет. Для выполнения других функций необходимы дополнительные авторизации. Таким образом, существует два основных риска:

Мы не проверяли, используются ли в этих системах стандартные пароли, но в соответствии с разнообразной статистикой, собранной в процессе наших исследований и исследований коллег, одна или более предустановленная учетная запись есть в 95 % систем.

7.3 Сервис CTC в составе NetWeaver J2EE

CTC, или ConfigTool, – это веб-сервис, установленный по умолчанию на движке NetWeaver J2EE. Он позволяет удаленно контролировать движок J2EE. Этот веб-сервис можно найти через Google, и он часто находится в системах SAP Portal. Возможно выполнение таких функций, как:

Исследователи Digital Security обнаружили в этом сервисе уязвимость [25], которая называется Verb Tampering. Она позволяет обходить проверки авторизации при удаленном доступе к сервису CTC. Это значит, что любой человек может удаленно получить полный неавторизованный доступ ко всей критичной для бизнеса информации, расположенной в движке J2EE.

К сожалению, вынуждены констатировать, что ситуация с доступностью через сеть CTC-сервисов, установленных на J2EE системах за последний год, практически не изменилась, что является плохим знаком и свидетельствует, что большая часть из них продолжает оставаться уязвимой.

Мы не проверяли, уязвимы ли эти системы, но наш опыт проведения тестов на проникновение показывает, что около 50% систем продолжают оставаться потенциально уязвимыми для атак. Так, недавно компания Nvidia отключила корпоративный портал поддержки, основанный на SAP Portal, из-за публикации об обнаруженной там уязвимости в сервисе CTC и, как следствие, потенциальном взломе и утечке данных [57].

7.4 SAP Message Server HTTP

SAP Message Server HTTP – это HTTP-порт сервиса SAP Message Server, который позволяет балансировать нагрузку на серверы приложений SAP. Обычно этот сервис доступен только внутри компании, однако в некоторых системах данный сервис был обнаружен и на внешних IP-адресах. По умолчанию SAP Message Server прослушивает порт 80NN, где NN – номер системы [40]. Одна из проблем SAP Message Server HTTP – возможность получить значения конфигурационных параметров SAP-системы удаленно без авторизации. Их можно использовать для дальнейших атак.

Сканирование выборки из 1000 подсетей компаний, использующих SAP, обнаружило 29 открытых для доступа систем Message Server HTTP.

Примерно 2 % (по сравнению с 11% раньше) компаний оставляют доступ в Интернет для Message Server HTTP, что может приводить к удаленному несанкционированному сбору сведений о системе

7.5 Консоль SAP Management

SAP Management Console, или SAPControl, – это сервис, позволяющий удаленно контролировать системы SAP. Основные его функции – удаленное включение и выключение, для их использования необходимо знать логин и пароль.

Помимо функций, требующих авторизации, существуют некоторые функции, доступные удаленно без авторизации. В основном они позволяют читать различные системные журналы, данные трассировки и системные параметры. Такие функции и связанные с ними проблемы достаточно хорошо изучены Крисом Джоном Райли (Chris John Riley), независимым исследователем [33].

Гораздо более опасное открытие исследователей Digital Security связано с возможностью найти в файлах системных журналов значение JSESSIONID [11]. JSESSIONID – это идентификатор, контролирующий сессии HTTP. В ходе одной из возможных атак злоумышленник может вставить значение JSESSIONID в файл cookie веб-браузера и получить неавторизованный доступ к сессии пользователя.

То же самое сканирование, о котором шла речь в предыдущих пунктах, показало, что в 2% подсетей сервисы SAP Management открыты для доступа.

Во время наших собственных тестов на проникновение мы имели возможность видеть, что процент уязвимых систем несравненно больше. Приблизительно 80 % из 250 сканированных серверов компаний, согласившихся принять участие в данном исследовании, оказались подвержены риску из-за описываемой проблемы.

Около 2 % (раньше 9 %) используют сервис SAP MMC, подключенный к Сети, что делает возможным неавторизованный доступ к системным журналам

7.6 SAP Host Control

SAP Host Control – это сервис, позволяющий удаленно контролировать системы SAP. Он может быть установлен вручную на любом хосте для удаленного сбора данных с системы SAP. Сервис обычно работает на порте 1128. Основные его функции требуют знания логина и пароля.

Помимо функций, требующих авторизации, существуют некоторые функции, доступные удаленно без нее. Первая – это возможность читать файлы трассировки, не будучи авторизованным. Зачастую в такой документации могут храниться данные о паролях и другая, не менее интересная информация. Вторая уязвимость является куда более опасной и уже была описана в Топ-листе пяти самых критичных уязвимостей 2012 года. Она позволяет делать удаленную инъекцию команд ОС для последующего выполнения на стороне сервера [41].

То же самое сканирование, о котором шла речь в предыдущих пунктах, показало, что в 0,6 % (ранее 2,6 %) подсетей сервисы SAP Host Control открыты для доступа. На самом деле это немного, так как сервис является дополнительным и устанавливается по мере надобности вручную.

Во время внутренних тестов на проникновение мы заметили, что уязвимость сохраняется на большем количестве систем. Примерно 30 % из отсканированных 250 серверов компаний –участников исследования оказались уязвимы к данной проблеме.

Приблизительно 1 % (ранее – порядка 2 %) компаний используют сервис SAP Host Control, доступный через Интернет, что означает опасность неавторизованного доступа к системным журналам

7.7 Сервис SAP Dispatcher

SAP Dispatcher – это основной сервис клиент-серверных коммуникаций в SAP. Он позволяет подключаться к SAP NetWeaver с помощью приложения SAP GUI по протоколу DIAG. Порт SAP Dispatcher не должен быть напрямую доступен через Интернет, и даже доступ внутри сети должен быть предоставлен строго определенным пользователям или группам пользователей.

Примечание: речь идет о Dispatcher, а не о WEB Dispatcher, который, разумеется, должен быть доступен из Интернета.

Тем не менее, просканировав 1000 подсетей, мы обнаружили 0,6 % (ранее 15 %) подсетей с открытым SAP Dispatcher.

Почему это опасно?

Во-первых, этот сервис позволяет напрямую подключаться к SAP- системе с использованием SAP GUI, где злоумышленнику не нужно ничего, кроме действующего логина и пароля. А в SAP множество стандартных паролей, и наш опыт проведения тестов на проникновение показывает, что они актуальны в 95% систем.

Другая проблема, найденная Core Security и описанная в Топ-5 самых опасных SAP уязвимостей 2012 года, состоит в том, что сервис SAP Dispatcher содержит множество уязвимостей переполнения буфера, что может приводить к атакам на отказ в обслуживании, а в некоторых случаях к исполнению кода [42]. Код эксплойта был опубликован еще в мае 2013 года, и теперь неавторизованный злоумышленник может эксплуатировать уязвимость без каких-либо прав в системе. Хорошая новость, правда, состоит в том, что уязвимость работает только при условии включенной трассировки DIAG на уровне 2 или 3 – по умолчанию значение другое.

В этом сервисе могут быть и другие проблемы, поэтому он не должен быть доступен удаленно.

8. Прогнозы на будущее и тренды

Несмотря на обилие проблем с безопасностью SAP, до сих пор новостей о реальных взломах с использованием уязвимостей в SAP было немного. В то время как в прошлом отчете реальных примеров не было вообще, сейчас мы имеем три примера.

В ноябре 2012 года Infosecurity Magazine опубликовал статью об атаке на министерство финансов Греции хакерской группировкой Anonymous, где якобы был использован SAP-эксплойт, что спровоцировало утечку критичных документов, порочащих компанию-жертву. Информация, с одной стороны, не была подтверждена SAP AG или другими официальными источниками, с другой стороны, не было и официального опровержения. Однако сама по себе статья на данную тему – знак пробуждения интереса к безопасности SAP в будущем.

В ноябре 2013 года, когда данный отчет был практически завершен, коллеги из компании Dr. Web поделились с нами примером банковского трояна. Более поздние версии этого трояна имели функции поиска и проверки наличия SAP GUI на рабочей станции. Это, без сомнения, является одним из первых признаков возрастающего интереса к бизнес-приложениям. Детали можно просмотреть в пресс-релизе [40]. Как выяснилось позднее, троянская программа не только проверяла факт наличия SAP-клиента на рабочей станции, но и выполняла полноценный функционал специализированного трояна: перехват логинов и паролей для подключения к SAP, создание скриншотов работы с SAP.

В январе 2014 года появилась новость о том, что компания Nvidia отключила корпоративный портал поддержки из-за публикации об обнаруженной там уязвимости в SAP Portal и, как следствие, потенциальном взломе и утечке данных. Данную уязвимость обнаружили специалисты компании ERPScan три года назад. Несмотря на многократные предупреждения, специалисты Nvidia не установили обновления и не закрыли брешь в безопасности [57].

Причина, почему взлом SAP нечасто освещается в открытой печати, во-первых, в том, что никто не хочет делиться информацией о несанкционированных проникновениях в систему, особенно внутренних. Внешнее же проникновение, в случае с ERP-системами, в большинстве случаев означат промышленный шпионаж, поэтому по определению не может получить огласку (за исключением, возможно, трояна из предыдущего примера). Во-вторых, как ни шокирующе это звучит, многие компании вовсе не следят за активностью SAP-системах и не протоколируют события. Как же можно быть уверенными в том, что не было проникновения в систему, не зная, что в ней происходит? Может быть, оно все-таки было?

8.1 Внутренняя угроза

Внутренние атаки, предпринимаемые инсайдерами, становятся все более вероятными в наше время . Более того, согласно отчету Ассоциации специалистов по расследованию хищений/мошенничества (ACFE), в 2012 г. потери организаций от внутреннего фрода составили [3] порядка 5 % от ежегодной выручки (!). Что можно добавить? 45 % организаций, занимающихся финансами, пострадали от фрода за последние 12 месяцев, что на 30 % больше по сравнению с другими отраслями (если судить по последнему отчету PWC [43]). Киберпреступления составляют 38 % от всех преступлений, которые происходят в финансовых организациях. И это число будет только расти вместе с развитием ИТ-индустрии. Участникам данного исследования в свое время была предоставлена возможность увидеть несколько примеров того, какие проблемы могут возникать из-за незащищенности внутренней сети. Их можно разделить на три категории: манипуляции с зарплатами, манипуляции с имуществом и ошибки, допущенные вследствие неправильного использования прав и паролей.

8.2 Внешние угрозы

Не только хакеры-одиночки, но и крупные компании зачастую могут быть заинтересованы в атаках на ERP-системы, воровстве корпоративных данных или DoS-атаках на инфраструктуру компаний-конкурентов.

У нас была возможность побеседовать с коммерческими организациями, занимающимися продажей и покупкой эксплойтов в среде частных и государственных компаний (услуги по разведке безопасности) и спросить, существует ли спрос на эксплойты в области ERP-систем. Как оказалось, он огромен. Такая известная компания, как Zero Day Initiative, только в 2012 году купила пять эксплойтов для SAP, настолько критичных, что они попали в наш топ-5 критичных проблем для SAP в 2012 году.

Помимо этого, существуют специализированные форумы по продаже доступа в ботнеты с диапазоном IP-адресов определенных компаний. В наши дни крупные компании и корпорации зачастую обладают большей силой, чем некоторые правительства, поэтому в будущем вполне возможны крупные корпоративные войны, в которых наиболее интересными целями могут стать системы, критичные для бизнеса.

8.3 SAP и расследование инцидентов

Не много примеров попало в открытый доступ на данный момент. В большинстве случаев так происходит потому, что очень мало организаций устанавливают инструменты, позволяющие отследить вредоносную активность. Поэтому даже если их система была подвержена атаке, они зачастую оказываются не готовы к расследованию инцидентов, поскольку не в состоянии зафиксировать или доказать факт атаки. Компании оказываются неспособны идентифицировать атаку. Основываясь на наших выводах, сделанных в процессе исследования 250 серверов компаний, давших свое согласие на публикацию результата, можно сделать весьма печальные выводы.

Оказалось, что только 10 % серверов компаний используют журналы аудита SAP, и в то же время лишь 2 % системных логов подвергаются хоть какому-нибудь системному анализу. Что еще хуже – лишь 1 % компаний проводят комплексный анализ событий безопасности  SAP и учитывают их корреляцию. Никто не может утверждать с уверенностью, подвергались ли компании какому-либо риску или нет.

Детальное изучение системных журналов, учет которых ведется в разнообразных системах, дает нам следующую картину:

Рис. 8.3–1 Процент подключенных логов

Столь большая разница между HTTP-логами и другими логами объясняется тем, что первые включены по умолчанию.

8.4 К чему это может привести?

Так как в данном исследовании мы не ограничивались описанием текущего состояния дел, но и пытались давать какие-либо прогнозы, было принято решение взглянуть на существующие вредоносные программы и выяснить, что же может готовить для нас ближайшее будущее в плане угроз безопасности бизнес-приложениям. На основании рассмотрения трех различных примеров недавно найденных вредоносных программ можно выделить три типа различных атак, которые могут послужить началом новой эры в развитии направленных атак на корпорации и их ERP-системы.

8.4.1 Autocad-вирус

Этот пример промышленного шпионажа довольно интересен. Мы считаем его одним из первых примеров направленного корпоративного шпионажа, сфокусированного на определенной цели. Основываясь на исследованиях данного вируса, можно прийти к заключению, что его создали в Китае с целью воровства секретных производственных документов. Если развивать данную идею, можно было бы предположить, что с целью воровства определенного вида данных у конкурентов гораздо большее количество узкоспециализированных вирусов было разработано. Некоторых знаний об устройстве SAP или подобных бизнес-приложений вполне достаточно для того, чтобы создать вирус, который, например, сможет атаковать SAP PLM (Product Lifecycle Management – управление жизненным циклом продукта) при помощи определенной уязвимости и знания того, где система хранит релевантную информацию [44].

8.4.2 Вирус интернет-торговли

Другой интересный пример – вирус Ranbys и его модификация для платформы QUICK, созданная для интернет-трейдинга. Данный вирус вполне может совершить кражу аккаунтов, но, что гораздо страшнее, – если вы дадите ему возможность делать что-то автоматически, например покупку определенных акций, их стоимость будет автоматически расти, что даст сигнал на покупку торговым роботам и биржевым «быкам». Таким образом можно повысить стоимость акций на несколько процентов, что с учетом большого количества акций может привести к колоссальным прибылям. Обратные же действия по продаже определенных акций в конечном итоге могут привести к коллапсу всей системы, не менее опасному, чем во время кризиса. Что касается SAP, ни для кого из нас не секрет, что номера банковских счетов хранятся в определенной таблице, и, если будет существовать червь, способный изменять эти данные, вполне возможно будет совместить силу компьютерного червя с возможностями фрода, переводя значительные суммы денег, вплоть до попыток нарушения экономики страны [45].

8.4.3 Атака на новостные ресурсы (саботаж)

Этот пример также представляет несомненный интерес и показывает нам, насколько легко обмануть рынок при помощи фальшивых новостей. Сама идея может быть также использована путем взлома портала организации, основанного на SAP и публикацию там неверной информации, провоцируя, таким образом, манипуляции [46].

Итак, надеемся, нам удалось показать пару пугающих примеров развития событий в случае взлома такой критичной системы, как SAP. Представьте себе, насколько опасная ситуация может сложиться, если кто-то получит контроль над SAP-системами целой страны.

9. Выводы

Старые проблемы постепенно исправляются, но множество появляющихся новых систем также остается уязвимым. И если количество уязвимостей постепенно сокращается по сравнению с 2010 годом, они со временем становятся намного критичнее. Растет количество компаний, находящих проблемы в SAP, на основании чего мы можем заключить, что интерес к безопасности SAP-платформ растет по экспоненте. У этого, в свою очередь, также есть положительные стороны: в частности, каждый новый выходящий продукт SAP по умолчанию гораздо безопаснее, чем раньше.

Учитывая растущее количество уязвимостей и огромное количество систем SAP, доступных через Интернет, мы предсказываем, что системы SAP могут стать мишенью не только для прямых направленных атак (так называемых APT), но и для массовой эксплуатации посредством «червей», в том числе использующих множество уязвимостей одновременно, что уже было продемонстрировано трояном Shiz. И несмотря на то, что множество проблем было закрыто за последнее время, все еще остается множество областей, до которых у исследователей не успели дойти руки, а там, в свою очередь, может скрываться большое число пока еще не известных уязвимостей. На данный момент мы тесно сотрудничаем с SAP Product Security Response Team в области поиска новых уязвимостей и методов атак, а также защиты от них, проводя обучающие семинары. За последний год многое изменилось, представители SAP теперь вкладывают огромное количество ресурсов во внутренние SDLC-процессы и внутренние конференции по безопасности.

К сожалению, как и год назад, большая часть ответственности за обеспечение безопасности до сих пор лежит на плечах администраторов, которым следует защищать свои SAP-системы за счет изучения руководств, усиления безопасности конфигурации, управления обновлениями, проверок исходного кода и постоянного мониторинга. Кроме того, нам кажется, что расследования инцидентов в SAP вполне могут стать новой областью исследований, поскольку не так-то просто найти какие-либо улики в сложной разветвленной системе журналов системного аудита SAP, даже если они ведутся. И чем больше атак будет совершаться на SAP, тем больше необходимости возникнет в расследованиях инцидентов и мониторинге безопасности.

О компании

ERPScan,дочерняя международная компания Digital Security, была основана в 2010 году, и за три года добилась признания на мировом рынке. На ее счету – благодарности от крупнейших вендоров (SAP, Oracle, HP, IBM, Apache и других) за обнаруженные уязвимости. ERPS является ведущим партнером SAP AG по обнаружению и закрытию уязвимостей, и признается Global Excellence Awards одной из самых инновационных компаний на рынке информационной безопасности.

ERPScan занимается исследованиями безопасности ERP-систем и бизнес-приложений, в частности, SAP. Именно поэтому программным флагманом компании является  – система мониторинга безопасности SAP, инновационный продукт для комплексной оценки защищенности и проверки соответствия стандартам.

Это ПО является единственным решением на рынке для оценки и анализа четырех уровней безопасности SAP: оценки уязвимостей, анализа исходного кода, SoD-конфликтов, управления информацией о безопасности и событиях и расследовании инцидентов безопасности.  Данное решение используется влиятельными компаниями из разных секторов экономики, включая крупнейшие в мире ядерные, нефтяные, газовые и логистические корпорации, контролирующие параллельно десятки систем SAP. Помимо этого, компания ERPScan занимается консалтингом, тестами на проникновение и аудитом кода ABAP для SAP-систем.

ERPScan удостоена множества международных наград. В 2013 году компания получила статус наиболее яркой из быстроразвивающихся компаний (Hot Companies) в Лас-Вегасе, США, от Network Products Guide. Система ERPScan Security Monitoring Suite была удостоена бронзовой медали и премии в категории Information Security and Risk Management и в категории Security Software (New or Upgrade version). Александр Поляков, технический директор ERPScan, получил золотую награду и звание лучшего профессионала в области исследований и разработок 2013 года (R & D Professional of the Year).

О EAS -SEC

Проект

EAS-SEC (ранее был частью глобальной стратегической группы OWASP Projects ) [47] – всемирная некоммерческая организация, цель которой – улучшение безопасности бизнес-приложений.

EAS-SEC является превосходным решением для людей, вовлеченных в процесс приобретения, разработки и внедрения крупномасштабных решений – так называемых бизнес-приложений. Безопасность корпоративных приложений является наиболее распространенной темой для дискуссий в широкой теме корпоративных приложений, поскольку они контролируют ресурсы организации, включая фонды, которые вполне можно потерять в результате взлома системы.

Цели проекта

Целью проекта EAS-SEC, запущенного еще в 2010 г., является повышение осведомленности о проблемах безопасности корпоративных и бизнес-приложений среди пользователей, администраторов и разработчиков, а также создание руководств и инструментов, призванных способствовать безопасности, сохранности настроек и защищенности разработки корпоративных приложений. Проводится общий анализ основных бизнес-приложений, а также собираются данные о ключевых областях безопасности, на которые необходимо обращать внимание при разработке и установке. Также проводились исследования «Безопасность SAP в цифрах 2011» [48] и «The state of SAP security 2013: Vulnerabilities, threats and trends» [49]. Результаты данных исследований были представлены на ключевых конференциях, таких как RSA, а также получили огласку в прессе [50].

Вот список основных задач EAS-SEC, на основе которых основывались подпроекты:

1. Уведомление широкой публики об уязвимостях безопасности корпоративных приложений посредством ежегодных статистических отчетов по уязвимостям безопасности корпоративных приложений.

Подпроект:  Статистика уязвимостей корпоративных бизнес-приложений [51].

2. Помощь компаниям, занятым в разработке ПО, повышение безопасности их решений.

Подпроект: Enterprise Business Application Security Vulnerability Testing Guide [52].

3. Развитие свободных расширенных инструментов, как для оценки безопасности корпоративных приложений [53].

4. Помощь компаниям в оценке безопасности корпоративных приложений на начальных этапах.

Подпроект: Enterprise Business Application Security Implementation Assessment Guide [54].

Ссылки и дополнительная информация

[1] ERPScan – Ведущий партнер SAP AG по обнаружению и закрытию уязвимостей, http://erpscan.ru/

[2] OWASP-EAS, http://eas-sec.org/

[3] Публичная мировая статистика SAP-систем, http://sapscan.com/

[4] ACFE Report to the Nations, http://www.acfe.com/uploadedFiles/ACFE_Website/Content/rttn/2012-report-to-nations.pdf

[5] SAP Security: attacking SAP clients, http://erpscan.com/publications/sap-security-attacking-sap-clients/

[6] Отчет Steve Lord с конференции CanSecWest, http://cansecwest.com/slides06/csw06-lord.ppt

[7] ERPScan’s SAP Pentesting Tool, http://erpscan.com/products/erpscan-pentesting-tool/

[8] ERPScan WEBXML Checker, http://erpscan.com/products/erpscan-webxml-checker/

[9] Sapyto – SAP Penetration Testing Framework, http://cybsec.com/EN/research/sapyto.php

[10] Top 10 most interesting SAP vulnerabilities and attacks, http://erpscan.com/wp-content/uploads/2012/06/Top-10-most-interesting-vulnerabilities-and-attacks-in-SAP-2012-InfoSecurity-Kuwait.pdf

[11] Благодарности SAP сторонним исследователям, http://scn.sap.com/docs/DOC-8218

[12] База данных об уязвимостях Security Focus, http://securityfocus.com

[13] База эксплойтов Offensive Security, http://exploit-db.com

[14] SAP NetWeaver J2EE – DilbertMSG SSRF, http://www.lan-ks.de/~jochen/sap-r3/ora-hack-en.html

[15] SAP Host Control – Command injection, http://contextis.com/research/blog/sap-parameter-injection-no-space-arguments/

[16] SAP NetWeaver J2EE – File Read/Write, https://service.sap.com/sap/support/notes/1682613

[17] SAP Message Server – Buffer Overflow, http://www.zerodayinitiative.com/advisories/ZDI-12-112/

[18] SAP Dispatcher – Diag protocol Buffer Overflow, http://www.coresecurity.com/content/sap-netweaver-dispatcher-multiple-vulnerabilities

[19] Uncovering SAP vulnerabilities: Reversing and breaking the Diag protocol, http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment&type=publication&page=Uncovering_SAP_vulnerabilities_reversing_and_breaking_the_Diag_protocol&file=Slides.pdf

[20] SAP Management Console Information Disclosure, http://www.onapsis.com/get.php?resid=adv_onapsis-2011-002

[21] Systems Applications Proxy Pwnage, http://www.sensepost.com/cms/resources/labs/tools/poc/sapcap/44con_2011_release.pdf

[22] Architecture and program vulnerabilities in SAP’s J2EE engine, http://erpscan.com/wp-content/uploads/2011/08/A-crushing-blow-at-the-heart-SAP-J2EE-engine_whitepaper.pdf.

[23] The ABAP Underverse, http://virtualforge.com/tl_files/Theme/whitepapers/BlackHat_EU_2011_Wiegenstein_The_ABAP_Underverse-WP.pdf

[24] SQL Injection with ABAP, http://virtualforge.com/tl_files/Theme/Presentations/HITB2011.pdf

[25] SAP NetWeaver – Authentication bypass (Verb Tampering), http://erpscan.ru/advisories/dsecrg-11-041-sap-netweaver-authentication-bypass-verb-tampering/

[26] Invoker Servlet, http://help.sap.com/saphelp_nw70ehp2/helpdata/en/bb/f2b9d88ba4e8459e5a69cb513597ec/frameset.htm

[27] PROTECTING JAVA AND ABAP BASED SAP APPLICATIONS AGAINST COMMON ATTACKS, http://virtualforge.com/tl_files/Theme/whitepapers/201106_SAP_Security_Recommendations_Protecting_JAVA_ABAP.pdf

[28] SAP Infrastructure security internals: Google and Shodan hacking for SAP, http://erpscan.com/press-center/blog/sap-infrastructure-security-internals-google-and-shodan-hacking-for-sap/

[29] SAP Application Server Security essentials: default passwords, http://erpscan.com/press-center/blog/sap-application-server-security-essentials-default-passwords/

[30] SAP NetWeaver SLD — разглашение информации, http://erpscan.ru/advisories/dsecrg-11-023-sap-netweaver-sld-%D1%80%D0%B0%D0%B7%D0%B3%D0%BB%D0%B0%D1%88%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8/

[31] NetWeaver BCB – отсутствие авторизации / разглашение информации, http://erpscan.ru/advisories/dsecrg-11-027-netweaver-bcb-%E2%80%93-missing-authorization-information-disclosure-2/

[32] SAP NetWeaver AdapterFramework — раскрытие информации, http://erpscan.ru/advisories/dsecrg-12-050-sap-netweaver-adapterframework-%D1%80%D0%B0%D1%81%D0%BA%D1%80%D1%8B%D1%82%D0%B8%D0%B5-%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8/

[33] ops$ mechanism, http://scn.sap.com/community/oracle/blog/2012/10/15/sunset-for-ops-mechanism-no-more-supported-by-oracle-not-used-by-sap

[34] Easy Service Marketplace, http://www.easymarketplace.de/saprouter.php

[35] SAP NetWeaver SOAP RFC — Отказ в обслуживании / численное переполнение, http://erpscan.ru/advisories/dsecrg-11-029-sap-netweaver-soap-rfc-%E2%80%94-%D0%BE%D1%82%D0%BA%D0%B0%D0%B7-%D0%B2-%D0%BE%D0%B1%D1%81%D0%BB%D1%83%D0%B6%D0%B8%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8-%D1%87%D0%B8%D1%81%D0%BB%D0%B5%D0%BD/

[36] SAP Netweaver XRFC — переполнение буфера, http://erpscan.ru/advisories/dsecrg-10-005-sap-netweaver-xrfc-%E2%80%94-stack-overflow/

[37] TCP/IP Ports Used by SAP Applications, http://www.sdn.sap.com/irj/scn/go/portal/prtroot/docs/library/uuid/4e515a43-0e01-0010-2da1-9bcc452c280b?QuickLink=index&overridelayout=true&42472931642836

[38] Scrubbing SAP clean with SOAP, http://www.slideshare.net/ChrisJohnRiley/sap-insecurity-scrubbing-sap-clean-with-soap

[39] CORE Labs Discovery of Six Vulnerabilities within SAP Netweaver, http://blog.coresecurity.com/2012/05/09/core-labs-discovery-of-six-vulnerabilities-within-sap-netweaver/

[40] New malware variant suggests cybercriminals targeting SAP users, http://www.computerworld.com/s/article/9243727/New_malware_variant_suggests_cybercriminals_targeting_SAP_users

[41] Fighting Economic Crime in the Financial Services sector, http://docs.media.bitpipe.com/io_10x/io_102267/item_485936/Economic%20crime%20in%20FS%20sector.pdf

[42] Espionage virus sent blueprints to China, http://www.telegraph.co.uk/technology/news/9346734/Espionage-virus-sent-blueprints-to-China.html

[43] Win32/Spy.Ranbyus modifying Java code in RBS Ukraine systems, http://www.welivesecurity.com/2012/12/19/win32spy-ranbyus-modifying-java-code-in-rbs/

[44] Associated Press Twitter Account Hacked in Market-Moving Attack, http://www.bloomberg.com/news/2013-04-23/dow-jones-drops-recovers-after-false-report-on-ap-twitter-page.html

[45] The Open Web Application Security Project (OWASP), https://www.owasp.org/index.php/Main_Page

[46] Безопасность SAP в цифрах. Результаты Digital Security за период 2007–2011, http://erpscan.ru/press-center/news/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C-sap-%D0%B2-%D1%86%D0%B8%D1%84%D1%80%D0%B0%D1%85-%D1%80%D0%B5%D0%B7%D1%83%D0%BB%D1%8C%D1%82%D0%B0%D1%82%D1%8B-%D0%B3%D0%BB/

[47] The state of SAP security 2013: Vulnerabilities, threats and trends, http://www.rsaconference.com/writable/presentations/file_upload/das-t03_final.pdf

[48] G. Burton, "Companies exposed to attack by out-of-date SAP applications", http://www.computing.co.uk/ctg/news/2275640/companies-exposed-to-attack-by-outofdate-sap-applications

[49] Enterprise Business Application Vulnerability Statistics, https://www.owasp.org/index.php/Enterprise_Business_Application_Vulnerability_Statistics

[50] Enterprise Business Application Security Vulnerability Testing Guide, https://www.owasp.org/index.php/Enterprise_Business_Application_Security_Vulnerability_Testing_Guide_v1

[51] Enterprise Business Application Security Software, https://www.owasp.org/index.php/Enterprise_Business_Application_Security_Software

[52] Enterprise Business Application Security Implementation Assessment Guide, https://www.owasp.org/index.php/Enterprise_Business_Application_Security_Implementation_Assessment_Guide

[53] As economy falters, employee theft on the rise, http://www.lasvegassun.com/news/2009/nov/06/managing-fraud-lesson-recession/

[54] Реестр популярных уязвимостей, http://cve.mitre.org

[55] Национальная база уязвимостей США, Available: http://web.nvd.nist.gov/

[56] The ERP Security Challenge, http://www.cio.com/article/216940/The_ERP_Security_Challenge

Наши контакты

В Москве: ул. Дубининская, д. 57, стр. 6

В Санкт-Петербурге: ул. Сабировская, д. 37

E-mail: press@erpscan.com sales@dsec.ru

Сайт: www.erpscan.com www.erpscan.ru www.dsec.ru