Исследователь в ходе следующей конференции Black Hat, которая пройдет на
следующей неделе, покажет, как хакеры могут атаковать доступные из Web
SAP-приложения предприятий, пользуясь их неправильной конфигурацией, а также
некоторыми присущими EPR-приложениям специфическими особенностями.
Мариано Нунез Ди Кросе, директор службы исследований и разработок Onapsis,
продемонстрирует обход аутентификации на SAP Enterprise Portal, вставку бэкдора
во взломанный SAP Enterprise Portal, сканирование внутренних портов с помощью
SAP Web services и взлом уязвимых SAP Web services.
"Из-за того, что приложения SAP теперь соединены с Интернетом в большей
степени, они становятся целью для кибершпионажа, саботажа и мошенничества", -
говорит он. Работающие на базе Web приложения SAP включают в себя Enterprise
Portal, Internet Communication Manager (ICM) и Internet Transaction Server (ITS),
который имеет определенную степень защиты. Но в Onapsis в ходе теста на
проникновение выяснили, что многие из их собственных клиентов – около 100 фирм –
должным образом не защитили свои приложения SAP, которые обычно отвечают за
работу требующих особого внимания бизнес-процессов – таких, как денежные
отношения, продажи, производство, расходы, выписка счетов, выплата заработной
платы.
"Многие клиенты не изменяют настройки по умолчанию (имя пользователя и
пароль) для SAP", - говорит Нунез Ди Кросе. "Девяносто пять процентов из них
подвержены взломам, а также возможному шпионажу и мошенничеству из-за того, что
настройки по умолчанию остались неизменными".
В предыдущем исследовании Ди Кросе показал, как хакер может вставить трояны и
руткиты, обойдя системы защиты в приложениях SAP, которые не защищены должным
образом. Для атаки нападающие воспользовались незащищенной интеграцией между
приложением SAP и другим приложением, запущенным в системе, чтобы потом
завладеть приложением SAP уже с высокими привилегиями. Нунез Ди Кросе также
показал, как атакующий может взломать базу данных, чтобы вставить бэкдор.
В ходе атаки устанавливается соединение с рабочей базой данных, поэтому
атакующий может изменить код в целевой системе SAP, говорит он.
Об атаках с обходом аутентификации на SAP Enterprise Portal известно с 2006
года, но только в кругах, имеющих дело с SAP, говорит Нунез Ди Кросе. Атака,
использующая интеграцию сторонних программ в портал, дает злоумышленнику
возможность выдать себя за подлинную утилиту управления и получить доступ к
Enterprise Portal – даже при двухфактороной аутентификации. Далее атакующий
может управлять порталами во внутренней сети предприятия, украсть данные
клиентов, вывести из строя систему или получить доступ к серверным системам SAP,
говорит Нунез Ди Кросе. "Это делегирование механизмов проверки подлинности для
Enterprise Portal внешним решением – уязвимо", говорит он. "Мы до сих пор
считаем его неправильным".
На конференции он также покажет, как атакующий может вставить бэкдор во
взломанный SAP Enterprise Portal чтобы получить точку опоры в системе для
последующего доступа к ней, а также как использовать сканирование внутреннего
порта с помощью SAP Web services, чтобы "обнаружить" системы и приложения в
целевой сети.
Нунез Ди Кросе говорит, что он не раскрывает своих инструментов взлома в этот
раз.
Что могут предпринять пользователи SAP, чтобы защитить свои приложения?
Следовать рекомендациям по безопасности SAP для настройки разных компонентов,
говорит он, которые варьируются от ограничения доступа к неиспользованным
функциональным возможностям, развёртывание серверов в защищенных DMZ, и
применение установок безопасности SAP.
"Мы стараемся повысить степень информированности общественности насчет того
факта, что безопасность SAP – больше, чем распределение рабочих обязанностей, на
которые промышленность фокусировалась на протяжении последних 10 лет", - пишет
Нунез Ди Кросе.
