Уязвимость SAP Web Application Server связана с неправильным присвоением разрешений для критичного ресурса, которое позволяет дистанционному нарушителю «оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации», — так сказано в описании уязвимости. По сути злоумышленник с ее помощью может обойти процедуру аутентификации и выполнить свой код в контексте сервера приложений NetWeaver. Поскольку он является элементом среды исполнения «тяжёлых» корпоративных приложений, то последствия такого взлома очевидны: хакеры могут вмешаться в работу промышленных ERP-систем под управлением SAP.

«SAP Web Application Server — это компонент SAP NetWeaver, выполняющий функции сервера веб-приложений для моделей SAP, на которых работают многие нефтегазовые компании, например, «Сургутнефтегаз», «Газпром», «Роснефть», а также компании в других отраслях», — заявил TAdviser Роман Карпов, директор по стратегии и развитию технологий Axiom JDK. — «Продукт включает в себя серверы приложений ABAP и Java. Возможна установка обеих частей (стеков) как совместно, так и по отдельности. Согласно исследованиям, на май 2024 г. SAP занимал 66% российского рынка ERP-систем, хотя он ушел с российского рынка и перестал предоставлять обновления».    

Именно поэтому уязвимость в подобном продукте может оказаться очень опасной — она представляет угрозу для критических предприятия российской экономики.

«Разработку на данном инструменте ведут те, кто сейчас используют SAP», — напомнил читателям TAdviser Олег Логвинов, генеральный директор компании «Логвинов Консалтинг Сервис». — «А это весь нефтегазовый, горнодобывающий сектор, металлургия, транспорт и частично машиностроение. Примерно 60% ВВП страны производится компаниями, использующими SAP».

Рис. NetWeaver используется для разработки модулей для решений SAP в нефтегазовых, горнодобывающих, металлургических, транспортных и машиностроительных компаниях

Впрочем, для эксплуатации уязвимости злоумышленники должны получить доступ к серверу NetWeaver, чего предприятия стараются избежать, пряча такие критические элементы корпоративной инфраструктуры за мощной системой защиты и организуя к ним защищённый доступ. Хотя разработчик выпустил исправления, но для российских предприятий обновить соответствующие продукты может быть непросто. Поэтому пользователям уязвимых версий SAP ФСТЭК рекомендует выполнить следующие действия:

• Использовать средства межсетевого экранирования уровня веб-приложений (WAF) для ограничения удалённого доступа к уязвимому программному обеспечению;
• Внедрить механизмы «белых» списков IP-адресов для организации доступа к уязвимому программному обеспечению;
• Обеспечить минимизацию пользовательских привилегий при работе с NetWeaver;
• Отключить или полностью удалить неиспользуемые учётные записи пользователей;
• Настроить защищённые коммуникации для организации удаленного доступа к NetWeaver.

Олег Логвинов, оценив опасность подобной уязвимости для российской экономики, предлагает подойти к уязвимостям подобного типа в SAP радикально — создать подконтрольный государству центр компетенций, в обязанности которого войдет:

• Создание доверенной среды для недоверенных компонент;
• Выработка методологии защиты приложений SAP;
• Проведение аудита на предмет защиты приложений SAP;
• Оказание консалтинговых услуг по инсталляции и организации сред защищенного развития и эксплуатации SAP;
• Контроль на наличие закладок в устанавливаемые исправления;
• Разработка соответствующих изменений российского законодательства;
• Взаимодействие со спецслужбами по локализации исходного кода в РФ.

Собственно, примерно в таком направлении и двигается ФСТЭК в рамках совершенствования инфраструктуры безопасной разработки в России. Однако, эта служба не имеет полномочий для организации подобного центра компетенции. Подобное решение должно быть принято на более высоком уровне.

Источник: TAdviser.