Эксперты компании Digital Security, предоставляющей консалтинговые услуги в области ИБ, сообщают о результатах семилетней работы по анализу уязвимостей платформы SAP. По информации, опубликованной на официальном портале SAP, всего было обнаружено 3000 уязвимостей. Значительная их часть была закрыта при помощи команды Digital Security. Ниже приведены 6 основных выводов из исследования:

• Процент уязвимостей SAP гораздо выше, чем принято считать” – количество уязвимостей, закрытых SAP, превышает 3000, что составляет порядка 5% от уязвимостей, обнаруженных во всех продуктах, информация о которых публиковалась в Сети;
• “Интерес к SAP-безопасности растет по экспоненте” – количество уязвимостей, найденных сторонними организациями, к которым в SAP выпустили патчи, возросло по сравнению с 2000-ми годами c 10% до 60-70% от всех уязвимостей, закрываемых ежемесячно;
• “SAP делает значительные успехи в SDL” – количество уязвимостей в SAP, находимых в течении месяца, сократилось почти в два раза по сравнению с 2010 годом, когда это количество достигло своего максимального пика;
• “Значительно возрастает интерес к взлому новых продуктов SAP” – количество проблем, обнаруживаемых в новых продуктах, включая SAP HANA, растет гораздо быстрее по сравнению с остальными, хотя их общее количество и не превышает десяти;
• “То, с чем принято считаться в традиционном понимании инфо-безопасности, не всегда применимо к продуктам SAP” – количество уязвимостей, связанных с повреждениями памяти (Memory Corruption), в семь раз менее популярно для SAP по сравнению с другими продуктами;
• “SAP – достаточно сложная и запутанная система, значительная роль в защите которой отводится администраторам” – проблемы, связанные с ошибками конфигурации, в пять раз популярнее для SAP, чем для других типов продуктов;

Александр Поляков, технический директор компании Digital Security, дает следующие комментарии к проведенному исследованию:

В соответствии с данными портала cvedetails.com, собирающего информацию по всем публичным уязвимостям, а также наиболее уязвимым вендорам, по количеству CVE продукты SAP находятся на 37 месте в списке производителей. Однако стоит понимать, что не все проблемы SAP имеют CVE. Сами представители SAP их не публикуют, в то время как сторонние исследователи тоже делают это лишь изредка. Поэтому, если мы будем судить по количествам публичных уведомлений об уязвимостях (advisories), количество которых насчитывает чуть более 500, то SAP находится на 15 месте. В тоже время, если мы будем считать по числу уязвимостей, закрытых производителем в общем, включая внешние и внутренние, то их наберется 3013. В таком случае, SAP окажется на втором месте после Microsoft. Отметим, что такое сравнение является не совсем правомерным, поскольку Microsoft закрывает множество проблем внутренне. Впрочем, и SAP также может закрывать часть уязвимостей без выпуска SAP Security Note (патчей для проблем безопасности).

Если в прошлые годы лишь 10% от найденных уязвимостей, публикуемых ежемесячно, было найдено сторонними наблюдателями, то в последних обновлениях их количество возросло до 60-70%. В тоже время, общее число выпускаемых патчей по безопасности SAP уменьшается с каждым годом.

В каждом отдельном продукте SAP за год находится разное количество уязвимостей. Для некоторых новых платформ, таких, например, как HANA, процент проблем стремительно растет с каждым годом, в то время как для платформ JAVA остается почти неизменным. В случае же со старыми платформами, включая ABAB, можно наблюдать даже некоторое снижение. Также существенно сокращается количество уязвимостей внутри клиентских приложений, особенно в сравнении с 2010 годом, когда мы впервые стали их изучать.

Для безопасности SAP существует ряд исключительных моментов. Например, такие уязвимости, как повреждение памяти (Memory Corruption), в том числе, переполнение буфера, в мире являются самыми распространенными (порядка 14% от всех проблем), а для SAP они составляют лишь 2 %, причем менее половины из них могут быть использованы для выполнения произвольного кода, и в основном встречаются в клиентских приложениях. В то же время количество проблем, связанных с конфигурацией, составляет 11 % всех проблем SAP-безопасности, а для остального мира этот показатель достигает всего 2 %.

Другие детали можно найти в полных версиях исследований, опубликованных на нашем сайте:

«Безопасность SAP в цифрах. Результаты глобального исследования за период 2007–2011» (http://www.dsec.ru/ipm-research-center/research/security_sap_in_numbers_the_results_of_the_global_survey_digital_security_for_the_period_2007_2011/)

«Глобальное исследование безопасности SAP за 12 лет: с 2001 по 2013 гг.» (http://www.dsec.ru/ipm-research-center/research/global_research_security_sap_for_12_years_from_2001_to_2013/?sphrase_id=1139)

Интересные выводы и рекомендации содержит также Руководство по анализу безопасности платформы SAP NetWeaver ABAP, создаваемое в рамках некоммерческого проекта EAS-SEC (Enterprise Application Systems Security Project), посвященного безопасности корпоративных приложений: http://www.dsec.ru/ipm-research-center/research/manual_on_analysis_of_safety_of_the_sap_netweaver_platform_abap/.

С полным текстом исследования можно ознакомиться по ссылке:

http://erpscan.com/wp-content/uploads/2014/06/3000-SAP-notes-Analysis-by-ERPScan.pdf