За последний месяц в области безопасности SAP произошло несколько значимых событий, о которых я хотел бы рассказать.

Во-первых, прошли две крупных конференции по безопасности, где затрагивалась тема безопасности SAP: BlackHat и Defcon. Мы (специалисты исследовательской лаборатории Digital Security) участвовали в обоих мероприятиях: с докладом о SAP на BlackHat и с докладом о VMware на Defcon. Я упоминаю здесь доклад о VMware, так как это выступление подтверждает, что защита SAP-систем заключается не только в безопасности самих приложений SAP, но и остальной инфраструктуры.

1. Уязвимости в VMware на Defcon

Это исследование было проведено во время тестирования ландшафта SAP на проникновение. В то время как наша команда концентрировалась, естественно, на приложениях SAP, Александр Миноженко обратил внимание на то, что системы SAP были установлены на платформе VMware ESXi. То есть даже если бы все приложения SAP в этом системе были защищены, злоумышленник все равно мог бы перехватить контроль над всеми системами, получив доступ к консоли управления ESXi – vSphere. Поэтому он озадачился поиском способа неавторизованного доступа ко всем виртуальным машинам – и нашел такой способ с помощью ряда брешей в безопасности, в том числе уязвимостей нулевого дня.

Подробности можно найти в презентации (на английском языке).

2. Презентация на BlackHat, посвященная XXE Tunneling в SAP

На BlackHat мы рассказали об атаках класса SSRF (Server Side Request Forgery, подделка ответа сервера) и привели большое количество примеров этих атак. Что касается конкретно SAP, мы продемонстрировали пример целевой атаки с последовательным использованием ряда уязвимостей:

• Неавторизованный доступ к сервису Dilbertmsg
• XXE Tunneling (туннелирование TCP пакетов через XML)
• Хранение в RWX памяти переменных посылаемых через XML
• Переполнение буфера в SAP Kernel

Об этой атаке доступно большое количество информации в Сети, от наших отчетов до статей в прессе и даже видеоинтервью:

• Презентация
• Отчет
• Видео на InfosecIsland
• Статья на DarkReading

Мы также написали сканер XXE, помогающий эксплуатировать XXE-уязвимости. Вскоре мы выпустим и опубликуем его бета-версию.

3. Презентация Мартина Галло на Defcon, посвященная ревёрсингу протокола SAP DIAG

Мартин Галло из CoreSecurity рассказал о декомпрессии и фаззинге протокола DIAG. Многие его открытия публиковались ранее, но теперь он обнародовал детали уязвимостей переполнения буфера в протоколе DIAG. С помощью этих уязвимостей анонимный злоумышленник мог бы провести DoS-атаку. Одна из продемонстрированных уязвимостей могла также привести к выполнению кода. Правда, трассировка в системе должна быть установлена на уровень 3, а это не очень популярно в промышленных системах.

4. Удаленное внедрение команд в SAP

Как читателям уже известно, в середине каждого месяца SAP публикует список благодарностей исследователям безопасности, нашедшим уязвимости в продуктах SAP. Исследователи имеют право публиковать