Специалисты исследовательского центра Digital Security опубликовали отчёт «Безопасность SAP в цифрах. Результаты глобального исследования 2007-2011» (pdf), которое представляет собой первое общедоступное статистическое исследование безопасности SAP, включающее детали измерений и описание угроз.
Лаборатория Digital Security провела сканирование TCP-портов по всей сети, которое показало, что от 5% до 25% пользователей SAP (в зависимости от типа сервиса) открывают удалённый доступ к критичным для бизнеса сервисам. В рамках исследования были просканированы их подсети. Количество открытых портов будет обновляться онлайн на www.sapscan.com — официальном сайте проекта.
Одной из целей исследования было разоблачение популярного мифа о том, что системы SAP защищены от хакеров, так как доступны только из внутренней сети. В то время как все рекомендации SAP и консалтинговых компаний гласят, что даже внутри сети доступ к административным сервисам необходимо строго ограничивать, обнаружилось, что многие компании некорректно настраивают ландшафт SAP, так что критичные сервисы доступны удалённо через интернет. Иногда причина в банальной некомпетентности, но иногда компании осознанно принимают решение о том, что им нужен лёгкий удалённый контроль, а это грубейшее нарушение правил информационной безопасности.
Так, в России обнаружилось 58 систем SAP Router, предназначенных для управления доступом к внутренним системам SAP. SAP Router как таковой может быть небезопасно настроен и позволять проникнуть внутрь компании, но настоящая проблема в том, что 10% этих компаний оставляют открытыми другие сервисы для прямого доступа через интернет в обход SAP Router, например, сервис SAP Dispatcher. Этот сервис легко эксплуатируется, если войти в систему под стандартной учётной записью или воспользоваться некоторыми другими уязвимостями, которые были закрыты компанией SAP только в мае 2012 года.
Кроме того, 9% мировой выборки (она состояла из 1000 компаний, использующих SAP, по всему миру) не закрыли доступ к сервису SAP Management Console, который уязвим к неавторизованному просмотру параметров системы через интернет.
Компании используют старые версии SAP
Одним из неприятных открытий Digital Security стало то, что компании используют старые версии SAP, выпущенные в 2005 году. Информация о публичных веб-серверах на основе SAP NetWeaver была собрана с помощью поисковых систем Google и Shodan. Анализ их версий показал, что самая популярная (45%) конфигурация — это SAP-система на основе NetWeaver 7.0 без дополнений и обновлений безопасности.
Исследователи Digital Security обеспокоены тем, что новые безопасные настройки, такие как отключение по умолчанию большей части критичных веб-сервисов, появились только в обновлении EHP 2 (Release 7.02). Результаты исследования демонстрируют, что появление новых настроек безопасности в ПО не означает, что компании действительно будут ими пользоваться и улучшать собственную безопасность.
Уязвимости веб-сервисов SAP
Часть данных была обнаружена исследователями Digital Security не только с применением собственной разработки – системы мониторинга безопасности SAP ERPScan, но и с помощью публичных поисковых сервисов, таких как Google и Shodan. Например, 67% систем NetWeaver J2EE и 55% систем NetWeaver ABAP подвержены уязвимости раскрытия информации, так как отдают детальную информацию о версиях серверов приложений и баз данных. Эта информация может помочь хакеру спланировать дальнейшие атаки, и она крайне проста для получения, так как доступна через общедоступные поисковики и не требует ресурсов на дополнительные сканирования.
Саккар Паулюс (Sachar Paulus, вице-президент по защите продукта и безопасности в SAP), сказал в интервью журналу CIO в конце 2008 года: «Одна из самых важных угроз ERP — это люди, которые подключают свои SAP-системы к интернету». Итак, спустя 4 года проблема всё ещё существует и стремительно растет.
Среди 2026 уязвимостей, закрытых компанией SAP на 26 апреля 2012 года (кстати, на 18 июня количество уязвимостей уже более 2300), наиболее популярны уязвимости, связанные с веб-приложениями. Например, самая популярная уязвимость — обход каталога (около 14%), а второе место занял межсайтовый скриптинг.
Говоря о критичных сервисах, доступных через веб-интерфейс, стоит отметить то, что в 40% систем ABAP NetWeaver в интернете включен сервис WebRFC, который позволяет вызывать критические административные и бизнес-функции. Он защищён логинами и паролями, но существует множество стандартных учётных записей, которые обычно не отключаются и пароли на которых не меняются. На 61% систем J2EE в интернете включен сервис CTC. Он подвержен уязвимости, которая называется Verb Tampering, позволяет обходить механизмы аутентификации и удаленно создавать в системе пользователя с любыми правами, и, к сожалению, всё ещё не исправлена в большинстве компаний.
Топ-5 самых важных уязвимостей в 2011 году
- Обход аутентификации с помощью Verb Tampering.
- Обход аутентификации с помощью Invoker Servlet.
- Переполнение буфера в вызове ядра ABAP.
- Удалённое выполнение кода через TH_GREP.
- Раскрытие JSESSIONID с помощью консоли SAP Management.
Количество уведомлений по безопасности SAP по годам
Количество эксплойтов SAP по годам
Прочие данные
В отчёте содержится 40 страниц метрик и графиков, а также интересные прочие факты:
● По данным на 26 апреля 2012 года, опубликовано более 2000 уведомлений о безопасности SAP.
● Большинство проблем (69%) имеют высокий приоритет, а это означает, что 2/3 публикуемых уязвимостей необходимо исправлять в кратчайшие сроки.
● Поисковая система Shodan обнаружила в интернете 2677 уникальных серверов с разнообразными веб-приложениями.
● Самые популярные ОС, которые используются вместе с SAP — Windows NT (28%) и AIX (25%).
