Безопасность SAP в цифрах за 12 лет. Результаты глобального исследования 2001–2013 гг.

Авторы: Александр Поляков, Алексей Тюрин, Кирилл Никитенков, Евгений Неёлов, Алина Оприско, Александр Круглов

Примечание

Согласно партнерскому соглашению с SAP, мы не имеем право публиковать подробную информацию о найденных уязвимостях до выпуска патчей. Поэтому в данном отчете подробно описаны только те уязвимости, информацию о которых мы имеем право раскрывать на данный момент. Однако дополнительные примеры эксплуатации, доказывающие существование описанных уязвимостей, доступны в презентациях с конференций, а также на сайте ERPScan.ru [1].

Наши исследования безопасности SAP, в том числе статистические, не ограничиваются этим отчетом. Новые статистические данные о SAP-сервисах в Интернете и другие начинания в рамках проекта EAS-SEC [2] доступны на  SAPScan.com [3].

Это исследование было проведено ERPScan, дочерней международной компанией Digital Security, ведущего партнера SAP AG по обнаружению и закрытию уязвимостей. Работа велась в рамках некоммерческого проекта EAS-SEC, созданного для повышения осведомленности в области защиты бизнес-приложений (Enterprise Application Security).

Этот документ в целом и отдельные его части запрещено копировать и распространять без прямого письменного разрешения Digital Security. Компания SAP AG не является ни автором, ни издателем этого документа и не несет за него никакой ответственности. Digital Security не несет ответственности за ущерб, нанесенный кем бы то ни было кому бы то ни было при попытке эксплуатации описанных здесь уязвимостей. В этой публикации содержатся отсылки к продуктам SAP AG. SAP NetWeaver и другие продукты SAP, упомянутые далее, являются торговыми марками или зарегистрированными торговыми марками SAP AG, Германия.

1. Введение

Ядро каждой крупной компании – это ее ERP-система. В ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансами. Вся информация, хранящаяся в ERP-cистемах, имеет огромное значение, и неправомерный доступ к ней может повлечь за собой громадные потери вплоть до остановки бизнеса. Согласно отчету Ассоциации специалистов по расследованию хищений (ACFE), в 2012 году потери организаций от внутреннего фрода составили порядка 5 процентов от ежегодной выручки [4]. Мировые потери от мошенничества оцениваются более чем в 3,5 трлн долларов в 2010–2012 гг. [5] Таким образом, в среднем организация теряет 5% годового дохода из-за мошенничества. Среднее значение за 4 года составляет 6 %. Вот почему мы решили провести детальное исследование в области безопасности SAP.

Потери от внутреннего мошенничества в среднем составляют 6% от годовой прибыли

Когда-то распространенный миф о том, что безопасность ERP – это только матрица SoD, исчерпал себя и уже кажется историей давно минувших дней. В течение последних 7 лет специалистами в области безопасности SAP было представлено множество подробных докладов о различных атаках на внутренние подсистемы SAP: на протокол обмена данными RFC, на систему разграничения доступа SAProuter, на веб-приложения SAP и на клиентские рабочие станции под управлением SAP GUI [6]. Интерес к этой теме растет экспоненциально: в 2006 году был представлен всего 1 доклад [7] о SAP на технической конференции по взлому и безопасности, в то время как в 2011 году их было уже более 20. В 2013 году популярность этой темы вдохновила исследователей более чем на 30 различных отчетов и статей. Кроме того, выпускаются разнообразные инструменты для взлома, что доказывает возможность атак на SAP [8], [9], [10].

Согласно статистике уязвимостей в бизнес-приложениях, за 2009 год было устранено более 100 уязвимостей в продуктах SAP, тогда как за 2010 год их было уже более 500.  А всего на конец 2013 года насчитывается более 2800 SAP Security Notes – уведомлений об уязвимостях в тех или иных компонентах SAP.

Большинство уязвимостей в SAP позволяет неавторизованному пользователю получить доступ ко всем критическим бизнес-данным, поэтому необходим обзор основных направлений атак и способов обеспечения безопасности этих систем

1.1. Новые тенденции корпоративной безопасности

Тенденции развития инфраструктуры компаний в последнее время движутся от децентрализованной модели к интеграции всех бизнес-процессов в одно целое. Если раньше в компании было множество серверов, таких как почтовый, файловый, контроллер домена и прочие, то сейчас все эти функции интегрируются в единое бизнес-приложение, чем обеспечивают, с одной стороны, удобство доступа, а с другой, единую точку отказа. В бизнес-приложениях и в ERP-системах хранятся все критичные данные компании, начиная от финансовой отчетности и персональных данных и заканчивая списками контрагентов и объектами корпоративной тайны. Для внешнего злоумышленника или инсайдера такая система представляет собой основную мишень, и его конечная цель – это отнюдь не права администратора на контроллере домена.

Тем не менее, сейчас многие специалисты по безопасности, к сожалению, крайне поверхностно осведомлены о защите таких бизнес-приложений, как SAP. Другая проблема состоит в том, что функции обеспечения безопасности лежат не на CISO, а на владельцах системы, которые фактически контролируют сами себя. В итоге за безопасность наиболее критичных элементов системы никто не отвечает.
Из других значимых проблем также стоит отметить:

  • Отсутствие квалифицированных специалистов

SAP-специалисты большинства компаний считают безопасность SAP только проблемой разграничения доступа, со стороны же службы безопасности понимание угроз SAP в лучшем случае поверхностно, и тем более отсутствует представление о тонкой настройке системы. 

  • Огромное количество настроек

В стандартных настройках системы более 1000 параметров, а также масса тонких настроек, не говоря уже о разграничении прав к различным объектам, включая транзакции, таблицы, RFC-процедуры и прочее. Например, одних только веб-интерфейсов для доступа к системе может быть несколько тысяч. Задача обеспечения безопасности даже одной такой системы может быть непростой.

  • Кастомизируемые настройки

Вряд ли найдутся две одинаковые SAP-системы, поскольку большая часть настроек адаптируется под заказчика.  Кроме того, разрабатываются свои программы, безопасность которых также следует учитывать при комплексной оценке.

Цель данного отчета – представить высокоуровневый обзор безопасности SAP в цифрах, чтобы вывести данную проблему с теоретического уровня на практический, основываясь на реальных данных и измерениях: начиная от информации о количестве обнаруженных проблем и их популярности и заканчивая количеством уязвимых систем, согласно результатам сканирования всей Сети [3].

2. Краткие результаты

Уязвимости

  • Известные уязвимости постепенно исправляются, но появляются новые проблемы. SAP приобретает компании и разрабатывает новые технологии быстрее, чем исследователи анализируют их
  • Количество уязвимостей, обнаруживаемых за год, снижается по сравнению с пиком в 2010 г., но они становятся более критичными
  • 69 % проблем, закрываемых SAP, помечены как критические
  • Топ-5 уязвимостей этого года более критичны, чем топ-5 2012 г. Почти все они имеют CVSS, равный 10 (самый высокий показатель)

Интерес

  • Число компаний, обнаруживающих проблемы в SAP, растет (в 2 раза по сравнению с прошлым годом), и процент проблем, обнаруженных при помощи внешних исследователей, становится все выше

Интерес к безопасности платформы SAP растет экспоненциально, и не только среди whitehats – «этичных хакеров». Системы SAP могут стать мишенью как для прямого нападения (например, т.н. APT, Advanced Persistent Threat), так и для массовых атак благодаря целому ряду легко эксплуатируемых и повсеместно установленных SAP-служб и приложений, доступных из Интернета.

Внешние проблемы безопасности

  • Было обнаружено почти 5000 систем SAProuter, и 85 % из них уязвимы к удаленному выполнению кода
  • Почти на 30 % больше интернет-решений SAP (на 90 % больше систем SAP Portal)
  • Резкий рост доли стран Латинской Америки и Азии в интернет-решениях SAP
  • Самая популярная версия (35 %) – по-прежнему NetWeaver 7.0, выпущенная в 2005 году
  • Треть веб-служб SAP, доступных из Интернета, вовсе не использует SSL
  • Число разнообразных административных SAP-сервисов, доступных из Интернета, снизилось в 3–5 раз (в зависимости от конкретного сервиса), но по-прежнему велико

Внутренние проблемы безопасности

  • Число административных сервисов с критическими уязвимостями, доступными изнутри компании, чрезвычайно велико (30–95 % в зависимости от сервиса)
  • Только в 10 % систем включены журналы аудита безопасности
  • Внутреннее мошенничество и бэкдоры,  написанные на языке ABAP, набирают большую популярность

Защита

[+] Безопасность SAP в конфигурации по умолчанию становится намного лучше

[+] SAP вкладывает деньги и ресурсы в безопасность, разрабатывает руководства и организует конференции

[–] К сожалению, пользователи SAP по-прежнему уделяют мало внимания безопасности

Прогноз

  • В безопасности SAP в ближайшее время будет оставаться много неохваченных областей
  • SAP Forensics (расследование инцидентов) может стать новой исследовательской областью, так как сейчас обнаружить свидетельства инцидента в системе нелегко, даже если таковые присутствуют
  • Новые типы целевого кибероружия, направленные на ERP-системы, могут появиться в ближайшее время

3. Статистика уязвимостей

В данном разделе содержится информация об уязвимостях в SAP, ранжированных по таким критериям, как популярность, критичность и наиболее уязвимые системы. Также представлен топ-5 самых важных из доступных публично уязвимостей.

3.1. Количество уведомлений о безопасности SAP

Каждый месяц в День критических патчей SAP (второй вторник месяца), выпускается в среднем около 30 так называемых уведомлений безопасности SAP (SAP Security Notes). В них, как правило, хранится информация об одной или более уязвимостях в продуктах SAP или ошибках конфигурации, которые представляют риск для систем SAP. Первое уведомление безопасности SAP было опубликовано в 2001 году. В 2007 году количество опубликованных уведомлений начало расти экспоненциально.

На 1 сентября 2013 г. опубликовано 2718 уведомлений безопасности SAP

Рис. 3.1–1 Количество уведомлений безопасности SAP по годам
* Информация актуальна на 1 сентября 2013. К тому моменту было опубликовано 2718 уведомлений безопасности

В течение 2011 года в День критических патчей обычно публиковалось примерно 61 уведомление безопасности SAP. В 2012 году их число уменьшилось до 54 и к середине 2013 года достигало в среднем 29 в месяц. Если сравнивать с другими производителями, то это больше, чем у Microsoft, Oracle и Cisco. Стоит отметить, что всего 4 года назад (в 2009 г.) их было намного меньше (примерно в 6 раз).

Рис. 3.1–2 Среднее количество уведомлений безопасности, выпускаемых каждый месяц в разные годы

Из этих двух графиков можно сделать вывод, что количество уведомлений безопасности снижается после пика в 2010 году. Тем не менее, их количество по-прежнему огромно, и, как можно увидеть ниже, процент критических уязвимостей растет.

3.2. Уведомления о безопасности SAP по критичности

SAP использует 5 уровней критичности для своих уведомлений:

1 – Сенсация
2 – Высокий приоритет
3 – Средний приоритет
4 – Низкий приоритет
5 – Рекомендации/дополнительная информация

Большинство проблем (69 %) имеют высокий приоритет, а это означает, что около 2/3 публикуемых уязвимостей необходимо исправлять быстро

Рис. 3.2–1 Количество уведомлений о безопасности SAP по уровню критичности
Сравнение: 2011 – выделены светлым, 2013 – выделены темным

Рис. 3.2–2 Количество высокоприоритетных уведомлений безопасности SAP по годам

Рис. 3.2–3 Количество низкоприоритетных уведомлений безопасности SAP по годам

Можно заметить, что общее количество уязвимостей, найденных в SAP, снижается, но исследователи переключились на поиск критичных уязвимостей.

3.3. Уведомления о безопасности SAP по типу

Мы проанализировали все опубликованные уведомления о безопасности SAP по популярности. Самые популярные проблемы представлены на графике:

Рис. 3.3–1 Уведомления о безопасности SAP по типу

3 наиболее распространенных типа уязвимостей охватывают 42 % (было 41 %) всех обнаруженных уязвимостей

Около 20 % уязвимостей не вошли в этот рейтинг, так как в системах SAP много уникальных проблем. Некоторые из них описаны в нашей презентации «Топ-10 наиболее интересных уязвимостей в SAP» [10].

Кроме того, мы сравнили списки популярных уязвимостей в SAP для 2012 и 2013 года с OWASP Top 10. Есть ли различия между уязвимостями веб-систем и бизнес-приложений, и есть ли какая-либо динамика?

Как видно, положение несколько изменилось. Мы можем только гадать, какова основная причина этих изменений, поскольку к ним могли привести много разных факторов, и числа могут быть не очень репрезентативны. Но есть несколько предположений.

Основными факторами, которые могут оказывать влияние на эти числа, являются:

  • Растущее число веб-приложений и, таким образом, все большее число веб-уязвимостей
  • Усовершенствование инструментов статического анализа кода программного обеспечения, благодаря которому снижается количество проблем, которые можно легко найти с помощью простых регулярных выражений. С другой стороны, растет количество проблем, требующих более точного статического анализа кода, включая анализ потока данных

Вывод:

  • Рост количества XSS-уязвимостей предсказуем из-за популярности веб-приложений, особенно приложений J2EE-стека, а также из-за усовершенствования инструментов статического анализа кода
  • Снижение количества уязвимостей обхода каталога предсказуемо из-за того, что их легко найти и большинство из них уже найдены. Кроме того, компания SAP добавила некоторые новые механизмы и дополнительные проверки авторизации в новые версии продуктов, чтобы повысить защищенность от уязвимостей обхода каталога
  • Количество SQL-инъекций растет из-за высокой степени их опасности. Кроме того, любые инъекции легче обнаруживаются более развитыми инструментами статического анализа кода
  • С другой стороны, такая проблема, как предопределенные аутентификационные данные, еще долго не потеряет актуальности. Большое число уязвимостей этого типа уже найдено с помощью простых регулярных выражений, а другие будут «жить» необнаруженными в системах годами
  • Некоторые области безопасности веб-приложений и ERP-систем сильно отличаются. Это служит еще одним доказательством того, что бизнес-приложениям нужен особый подход и особые приоритеты в выстраивании процессов SDLC

3.4. Количество благодарностей сторонним исследователям

В 2010 году компания SAP приняла решение благодарить сторонних исследователей безопасности за уязвимости, найденные в ее продуктах [12]. На рисунке показано количество уязвимостей, обнаруженных внешними исследователями с 2010 года.

Рис. 3.4–1 Количество благодарностей сторонним исследователям по годам

В 2010 году было всего 16 компаний, которые получили благодарности от SAP, но к середине 2013 года мы насчитали 46 различных компаний и 3 независимых исследователей, что в 3 раза больше.

Рис. 3.4–2 Количество уведомлений безопасности SAP по годам

SAP уже поблагодарила внешние компании и исследователей за помощь в обнаружении 353 уязвимостей в продуктах SAP. Большинство компаний нашли по одной уязвимости, тогда как специалистами компании ERPScan была найдена почти четверть всех уязвимостей, а точнее, 83 (намного больше, чем у любой другой команды исследователей).

Правило 80/20 работает почти идеально. 80 % уязвимостей были обнаружены 17,5 % компаний.

Рис. 3.4–3 Процент благодарностей по сравнению с числом компаний

Растет соотношение числа уязвимостей, найденных внешними исследователями, и уязвимостей, обнаруженных силами SAP. Также увеличивается количество внешних исследователей.

Рис. 3.4–4 Доля благодарностей сторонним исследователям по годам

О чем еще здесь стоит упомянуть? В последнее время мы стали все чаще получать от SAP PSRT в ответ на информацию об очередной уязвимости сообщение, что она уже исправлена. Этому есть два возможных объяснения, и каждое из них является хорошей новостью для пользователей SAP. Во-первых, SAP AG существенно улучшила свой внутренний цикл безопасной разработки (SDLC) и процесс исследования уязвимостей, поэтому некоторые проблемы SAP находит самостоятельно. Во-вторых, иногда два разных исследователя одновременно открывают новую уязвимость, и это означает, что число исследователей активно растет.

Рекордное количество уязвимостей было обнаружено внешними исследователями

Рис. 3.4–5 Количество дублирующихся проблем, обнаруженных исследователями из ERPScan, по годам

3.5. Количество информации, доступной публично

Наибольшую опасность представляют уязвимости, информация об эксплуатации которых (подробное описание уязвимости, PoC-эксплойты или полноценные эксплойты) доступна онлайн. Мы собрали информацию из следующих популярных источников:

SecurityFocus [13] – здесь можно найти детальное описание, иногда PoC-эксплойт. Все уязвимости в этой базе имеют высокую вероятность эксплуатации. По состоянию на 1 сентября 2013 г., здесь были найдены подробности о 149 уязвимостях (5,5 % от общего количества).

Рис. 3.5–1 Количество уязвимостей в год на SecurityFocus

Exploit-DB [16] – здесь расположены готовые эксплойты, которыми можно пользоваться, не внося изменений и не имея никаких знаний об эксплуатации соответствующей системы. Все уязвимости в этой базе имеют критичную вероятность использования. По состоянию на 1 сентября 2013 г., здесь были найдены 49 эксплойтов (1,8 % от общего количества уязвимостей).

Рисунок 3.5–2 Количество эксплойтов в год на Exploit-DB

На графике ниже уязвимости отсортированы по вероятности и простоте эксплуатации, согласно количеству информации, которая доступна хакерам в публичных источниках, а не в закрытых уведомлениях безопасности SAP.

Рис. 3.5–3 Уязвимости в SAP по вероятности и простоте эксплуатации (по состоянию на 1 сентября 2013)

3.6. Топ-5 самых важных уязвимостей в 2012 году

Из множества опубликованных уязвимостей мы выбрали Топ-5 проблем, представляющих наибольшую угрозу:

  • SAP NetWeaver J2EE – SSRF в DilbertMSG [17]
  • SAP Host Control – Инъекция кода [18]
  • SAP NetWeaver J2EE – Чтение/запись файлов [19]
  • SAP Message Server – Переполнение буфера [20]
  • SAP Dispatcher – Переполнение буфера в протоколе DIAG [21]

Мы выбрали 2 основных фактора среди прочих, позволяющих понять ценность уязвимостей, обнаруженных в 2012 году:

  • Доступность – один из основных факторов. Означает, можно ли эксплуатировать уязвимость из Интернета без пользовательской авторизации.
  • Критичность – насколько критичен будет вред, причиненный системе.

1. SAP NetWeaver J2EE – SSRF в DilbertMSG

Уязвимость была найдена в XML-парсере движка SAP NetWeaver J2EE. Фактически, это несколько уязвимостей, которые ведут к атаке типа SSRF (Server Side Request Forgery, подделка запросов на стороне сервера), позволяющей анонимному злоумышленнику из сети Интернет отправлять любые TCP-пакеты в любую внутреннюю сеть, а также читать файлы ОС, минуя защиту сервера сообщений, проводить атаки типа «отказ в обслуживании» и многое другое. Этот тип атаки, возможно, не так критичен, как другие, которые будут представлены ниже, но ее открытие знаменует собой актуализацию нового типа проблем, и аналогичные бреши в безопасности могут появиться в будущем.

2. SAP Host Control – Инъекция кода

Эта уязвимость была обнаружена в сервисе SAP Host Control движка ABAP SAP NetWeaver. Этот сервис по умолчанию слушает TCP-порт 1128. Данная уязвимость позволяет анонимному злоумышленнику выполнить любую команду операционной системы путем инъекции в пакет SOAP. Таким образом, данная уязвимость может быть использована только в случае, если SAP установлен поверх базы данных MaxDB. Данная уязвимость занимает второе место в нашем списке по следующим причинам: простота использования, возможность эксплуатации через Интернет, огромное количество видимых и доступных через интернет сервисов Host Control.

3. SAP NetWeaver J2EE – Чтение/запись файлов

Данная уязвимость была найдена в стеке SAP NetWeaver J2EE и позволяет анонимному злоумышленнику получить права доступа к чтению и записи любого файла в операционной системе. Критичность данной уязвимости – 10 баллов по шкале CVSS. И только по двум причинам мы помещаем эту уязвимость лишь на третье место в нашем списке. Во-первых, уязвимый сервис доступен только внутренним службам, а во-вторых, в сети нет официальных опубликованных данных на тему того, как можно воспользоваться данной уязвимостью.

4. SAP Message Server – Переполнение буфера

Уязвимость, найденная в сервисе SAP Message Server, основана на удаленном переполнении буфера и дает возможность исполнения любого кода на уровне операционной системы с правами <SID> администратора. Уязвимость была продана в Zero Days Initiative, а ее критичность оценивается в 10 балов из 10 по шкале CVSS. Еще одним критическим моментом является то, что данные об этой уязвимость могут легко утечь в сеть и распространится по всему Интернету.

5. SAP Dispatcher – Переполнение буфера в протоколе DIAG

SAP Dispatcher – это основной сервис клиент-серверных коммуникаций в SAP. Он позволяет подключаться к SAP NetWeaver с помощью приложения SAP GUI по протоколу DIAG. Другая проблема, обнаруженная некоторое время назад компанией Core Security, заключается в том, что сервис SAP Dispatcher имеет множественные уязвимости переполнения буфера, которые могут привести к атаке типа «отказ в обслуживании», а одна из них к тому же позволяет выполнение кода [22].

9 мая был опубликован код эксплойта, и теперь неавторизованный злоумышленник может эксплуатировать уязвимость без каких-либо прав в системе. Хорошая новость состоит в том, что уязвимость работает только при условии включенной трассировки DIAG на уровне 2 или 3 – по умолчанию значение другое.

4. Рост интереса

Тенденции информационной безопасности в настоящее время фокусируются в основном на мобильных приложениях, облачных сервисах, социальных сетях и критичных объектах инфраструктуры, которые, возможно, станут целью злоумышленников в ближайшем будущем. Однако существует и такая область, как безопасность ERP-систем, и эти системы находятся под угрозой уже сейчас. Поэтому неудивительно, что растет число компаний, которые занимаются безопасностью ERP-систем и разрабатывают ПО для аудита их безопасности. В то же время постоянно появляются новые компании, которые предлагают специализированные консалтинговые услуги в области безопасности ERP-систем.

4.1. Количество докладов по безопасности на конференциях

С 2006 года вопросам безопасности SAP уделялось все больше внимания на узкоспециализированных конференциях по ИБ, включая BlackHat, HITB и т. п. Уже в 2004 году в некоторых докладах, например от Phonoelit, шла речь об исследованиях, затрагивающих безопасность SAP.ИБ, включая BlackHat, HITB и т. п. С 2010 года эта тенденция распространилась и на другие конференции; все больше компаний и исследователей стали проявлять интерес и публиковать свои открытия в области безопасности SAP. С 2006 по 2009 годы большая часть докладов фокусировалась на классических угрозах информационной безопасности в SAP-ландшафтах, таких как безопасность веб-приложений SAP, безопасность клиентской части SAP, описание бэкдоров и троянов, написанных специально под SAP. В последнее же время фокус конференций все больше смещается в сторону ретроспективных обзоров и таких направлений защиты SAP, как расследование инцидентов (Forensics).

В течении последних десяти лет практически не осталось ни одного компонента SAP, которую не взламывали или не пытались взломать. Исследователи успели обсудить защищенность почти каждой области SAP.

Начиная с 2003 г. практически все части SAP находились под угрозой атак, и каждый такой случай был поводом для обсуждения на технических конференциях

Рис. 4.1–1 Количество докладов по безопасности SAP на различных конференциях по годам (Данные получены с веб-сайтов различных конференций и актуальны на 15 августа 2013 года)

5. SAP в Интернете

Среди людей, работающих с SAP, бытует мнение, что SAP-системы существуют отдельно и изолированы от Сети, поэтому все уязвимости в SAP могут эксплуатироваться только инсайдерами.

Однако бизнес-приложения доступны не только из внутренней сети – это миф, который был реальностью десять лет назад, когда вся информация о компании могла храниться на одном отдельном сервере. Бизнес не стоит на месте, и компаниям жизненно необходимы сетевые соединения между различными приложениями. Крупным корпорациям нужно быть на связи  через глобальную сеть с филиалами по всему миру, обмениваться данными с клиентами посредством веб-порталов, систем SRM и CRM, иметь доступ к информации из любой точки мира, используя мобильные решения.

Практически все бизнес-приложения подключены к сети

Цель, которую мы ставим перед собой в этой части отчета, – разрушить упомянутый миф. Для этого мы продемонстрируем, какие сервисы доступны удаленно, каким компаниям они принадлежат и насколько они уязвимы.

5.1. Результаты поиска через Google по странам

Эта статистика была собрана с помощью несложных запросов в поисковой системе Google [31].

В результате сканирования было обнаружено 695 (ранее 610) уникальных серверов с различными веб-приложениями SAP. Это на 14 % больше, чем в 2011 г., принимая во внимание тот факт, что 22 % сервисов, созданных в 2011 г., недоступны на данный момент, и в то же время появилось порядка 35% новых сервисов. Очевидно, что самая популярная платформа – J2EE. К сожалению, такие серверы более уязвимы, чем движок ABAP, так как на данной платформе существуют как минимум 3 разных уязвимости, которые могут быть использованы анонимно и предоставить полный доступ к системе. Однако не стоит забывать, что в движке ABAP по умолчанию предустановлено множество пользовательских учетных записей со стандартными логинами и паролями [32], что предоставляет хакерам широкие возможности. В то же время, для SAP BusinessObjects актуальны обе из вышеописанных проблем.

Рис. 5.1–1 Серверы приложений по типу

Рис. 5.1–2 Серверы приложений по странам

Рис. 5.1–3 Общее количество серверов приложений SAP, найденных с помощью Google, сортировка по странам (Топ-20)

5.2. Результаты поиска в Shodan по странам

В качестве второго ресурса для поиска веб-интерфейсов SAP в сети Интернет был выбран www.shodanhq.com. Особенность этого сервиса состоит в том, что он не только находит приложения, которые были проиндексированы поисковыми роботами, но также сканирует всю Сеть на наличие открытого 80-го (и не только) порта, что делает его весьма полезным для дополнительного поиска SAP-систем.

Рис. 5.2–1 Серверы приложений по типу

Платформа SAP NetWeaver J2EE на данный момент, без сомнений, является наиболее популярной в Сети и продолжает набирать обороты. В соответствии со статистикой сервиса ShodanHQ, количество расположенных в Сети систем SAP Portal удвоилось всего за год.

Рис. 5.2–2 Рост по серверам приложений

Рис. 5.2–3 Серверы приложений по странам (по данным ShodanHQ)

Рис. 5.2–4 Общее количество серверов приложений SAP, найденных с помощью ShodanHQ, сортировка по странам (топ-20)

Статистика, собранная по странам, использующим веб-приложения SAP, также дает нам весьма интересную картину, особенно если сравнить ее с цифрами прошлого года. В соответствии с этими данными, наибольший рост количества веб-серверов SAP наблюдается в странах Латинской Америки и Азии.

Рис. 5.2–5 Рост количества веб-серверов SAP (топ-5)

5.3. Сетевой сканер Census

В 2012 году неким анонимным исследователем был запущен весьма интересный проект – Census. При помощи, в том числе, нелегальных технологий, таких как устройства для эксплуатации уязвимостей, он просканировал самые популярные порты по всей Сети. Вся информация, собранная сканером, была выложена в открытый доступ. Применительно к предмету нашего исследования, сканер был полезен для 80 порта. Итак, Census нашел 3326 IP-адресов с установленными веб-приложениями SAP, что примерно соответствует цифре, полученной от сервиса ShodanHQ. Также зафиксированная при помощи Census информация позволяет нам делать выводы об использовании SSL. Итак, в соответствии с этими данными, порядка трети приложений SAP, взаимодействующих с Интернетом, вообще не используют протокол SSL.

Рис. 5.3–1 Использование SSL в приложениях SAP

5.4. Результаты сканирования портов по странам

Самая интересная и сложная часть нашего исследования посвящена сканированию Сети не только на наличие веб-сервисов, но и сервисов, которые вообще не должны быть доступны через Интернет.

На данной стадии эта задача выполнялась посредством простого алгоритма, который сканировал только подсети серверов, найденных через Google и ShodanHQ (что составило около 1000 подсетей). Мы нашли большое количество портов, которые прослушиваются такими сервисами SAP, как Message Server HTTP, SAP Gateway и SAP Host Control. В процессе сканирования была собрана информация по SAP-сервисам, находящимся в открытом доступе, включая SAP Host Control, SAP Dispatcher, SAP Message Server и SAP Management Console.

Рис. 5.4–1 Данные о количестве серверов приложений SAP по странам (сканирование портов с помощью Nmap)

На диаграмме показан процент компаний, которые открывают доступ к Сети для различных некритичных SAP-сервисов. Данные о количестве открытых портов периодически обновляются на sapscan.com [3] – официальном сайте данного проекта.

10 % компаний, использующих SAP, делают доступными непосредственно в Сети такие критичные сервисы, как Gateway или Dispatcher, обходя защиту SAProuter

Рис.  5.4–2 Процент компаний, открывающих доступ в Сеть для SAP-сервисов

6. Версии SAP

Мы проверили, какие версии движков ABAP и J2EE чаще всего присутствуют в Интернете, чтобы получить представление о жизненном цикле продуктов SAP и выяснить, какие версии продуктов популярны сейчас. Мы также оценили, какие ОС и СУБД используются совместно с системами SAP чаще всего.

6.1 Версии движка ABAP

Чтобы узнать версии ABAP, мы подключались к корневой директории сервера приложений и анализировали HTTP-ответы. Мы также воспользовались уязвимостью раскрытия информации. Версию же SAP NetWeaver можно легко узнать, если приложение настроено небезопасно и позволяет атакующему извлекать информацию из URL запроса /sap/public/info. На данном этапе мы можем с удовлетворением констатировать, что, по сравнению с прошлым годом, значительно снизилось количество подключенных к Сети SAP-приложений с уязвимостями разглашения информации.

После сканирования всех доступных серверов SAP NetWeaver ABAP удалось выяснить, что 6 % (ранее 59 %) уязвимы для атак на раскрытие информации

Использование актуальных версий жизненно важно для ИБ. Например, лучшие настройки безопасности, такие как отключение доступа ко всем веб-сервисам, доступны по умолчанию в обновлении EHP 2. Но EHP 2 установлена только на 23 % (ранее 11 %) от всех серверов. Это означает, что, даже несмотря на заботу компании SAP о безопасности своих систем, усилия разработчиков зачастую оказываются напрасны, если в процесс по улучшению безопасности SAP не включаются администраторы.

На данный момент наиболее популярной версией NetWeaver (35 % от общего числа, ранее 45 %) является версия 7.0, выпущенная еще в 2005 году!

Рис. 6.1–1 Версии NetWeaver ABAP в порядке популярности

Если мы сравним эти данные с 2012 годом, мы можем констатировать положительную динамику в увеличении количества установленных версий 7.3 и 7.2, что, однако, пока что является лишь каплей в море на общем фоне используемых версий.

6.2 Версии движка J2EE

Информацию о версии движка J2EE можно легко найти, прочитав отклик HTTP. Однако подробная информация о версии патча также становится доступной, если сервер приложений настроен некорректно и позволяет атакующему просматривать информацию с некоторых страниц. Например, как минимум эти три страницы раскрывают информацию о движке J2EE:

Подробная информация о версиях продуктов представлена ниже.

Рис. 6.2–1 Версии NetWeaver JAVA в порядке популярности

Опять-таки, если сравнивать эти данные с 2012 годом, можно отметить ряд позитивных изменений. Так, самые новые версии, такие как 7.31 и 7.3, представлены на 12 % от всех серверов. Детали в таблице:

Если хотите прочитать статью полностью и оставить свои комментарии присоединяйтесь к SAPLAND
Зарегистрироваться
У вас уже есть учетная запись?
Войти

Материал мероприятия