Positive Technologies выявила множественные уязвимости в продуктах SAP

Уязвимости в компонентах SAP позволяют получить доступ к базам данных ERP-системы, остановить работу ее сервера, повысить привилегии до максимального уровня и осуществить другие атаки. Эти проблемы обнаружили эксперты Positive Technologies Юрий Алейнов, Егор Димитренко, Михаил Ключников, Роман Понеев, Михаил Степанкин и Александр Швецов.

Наибольшую опасность представляет уязвимость в среде разработки Web Dynpro Flash Island (оценка 7,5 по шкале CVSS). Этот компонент предназначен для создания веб-приложений в SAP. Отсутствие валидации XML дает возможность злоумышленнику без авторизации в системе SAP провести XXE-атаку и получить доступ к локальным файлам сервера, где располагается SAP (приватным ключам и другой важной информации). Также возможна атака на отказ в обслуживании, которая приведет к остановке сервера SAP.

«Продукты SAP используют более сотни тысяч компаний. Распространенность и многофункциональность системы приводит к тому, что эксплуатация даже весьма обыденных уязвимостей чревата серьезными последствиями, — отмечает руководитель отдела безопасности бизнес-систем Positive Technologies Дмитрий Гуцко. — Например, рядовая XSS-атака, при которой злоумышленник отправляет пользователю ссылку на вредоносный сценарий и ожидает его исполнения в браузере, грозит получением доступа к любым данным на странице пользователя системы — куки-файлам или токенам сессии. А при наличии привилегий на захваченной машине злоумышленник сможет изменить конфигурацию системы SAP от имени ее владельца — создать новых пользователей, выдать привилегии и роли, загрузить файлы или провести RCE-атаку (произвольное выполнение кода)».

«Компания SAP сотрудничает с экспертами по безопасности по всему миру, что позволяет на ранней стадии находить и устранять уязвимости в наших продуктах. Недостатки, выявленные специалистами Positive Technologies в некоторых продуктах SAP, были закрыты пакетами исправлений, выпущенными в феврале-апреле текущего года. Мы рекомендуем всем клиентам SAP следить за выходом SAP Notes по безопасности и своевременно устанавливать обновления, — сказал Дмитрий Костров, директор по информационной безопасности «SAP СНГ». Positive Technologiesэто многолетний партнер SAP, с которым мы плодотворно сотрудничаем для улучшения безопасности наших продуктов. В соответствии с нашими соглашениями подобные исследования об уязвимостях в продуктах SAP публикуются через определенное время после выхода исправлений для них».

Проблема отсутствия валидации XML коснулась также компонентов SAP Composite Application Framework Authorization Tool (оценка 4,9) и SAP NetWeaver Web Services Configuration UI (оценка 5,4), однако в этих случаях для реализации XXE-атаки злоумышленнику потребовалась бы авторизация. Атакующий может прочитать любые файлы на сервере: конфигурацию самого сервера SAP, системные файлы операционной системы сервера, а также исходный код приложения. Злоумышленник может выяснить учетные данные администратора системы и повысить привилегии пользователя. Кроме того, возможность посылать запросы от имени сервера в локальную сеть потенциально грозит получением нелегитимного доступа к ресурсам внутренней сети, например к базам данных.

Эти уязвимости были устранены в апрельском пакете исправлений SAP. Меры по снижению риска описаны в уведомлениях 2410082, 2372301 и 2400292.

Максимальные привилегии

В феврале и мае 2017 года были выпущены исправления (уведомления 2369541 и 2406918) для двух компонентов, подверженных XXE-атаке, — SAP Enterprise Portal (оценка 6,5 по шкале CVSS) и вновь SAP NetWeaver Web Services Configuration UI (оценка 3,8), причем в первом случае от злоумышленника не требуется авторизация в системе.

Внутренний атакующий может получить доступ к файлам с хеш-функциями паролей к операционной системе, а также файлам безопасного хранилища и ключам системы SAP. В некоторых случаях злоумышленник сможет завладеть данными аутентификации к ОС и к базе данных сервера SAP, что позволит внутреннему нарушителю получить максимальные привилегии в системе. Для внешнего злоумышленника сетевой доступ на уровнях ОС и базы данных будет заблокирован, но он может попытаться взломать с помощью этих учетных записей аккаунты на других открытых сервисах или провести DDoS-атаку.

Целевые атаки на пользователей SAP

В марте компания SAP опубликовала еще три уязвимости, обнаруженные Positive Technologies. Эксперты выявили возможность раскрытия информации в Business Process Management (оценка 5,3). Данная уязвимость позволяет узнать, какие пользователи существуют в системе SAP, что может привести, например, к целенаправленным атакам на них. Уязвимость может помочь злоумышленнику и в эксплуатации различных других уязвимостей — например, позволит угадать пароль пользователя.

Еще две уязвимости — межсайтового выполнения сценариев (XSS) — были обнаружены в SAP Enterprise Portal styleservice (оценка 5,4) и SAP NetWeaver Monitoring application (оценка 6,1). Действия, позволяющие устранить мартовские недостатки, представлены в уведомлениях о безопасности SAP под номерами 2372188, 2392509 и 2417046.

Компания Positive Technologies предлагает несколько продуктов, позволяющих защитить решения SAP от подобных угроз. Система контроля уязвимостей и соответствия стандартам MaxPatrol позволяет своевременно выявлять уязвимости в продуктах SAP, проводить инвентаризацию этих систем, контролировать обновления, анализировать параметры, конфигурации и права доступа. Другой продукт компании, MaxPatrol SIEM, уже «из коробки» может работать с системами SAP на базе платформ SAP NetWeaver ABAP/JAVA. Межсетевой экран прикладного уровня PT Application Firewall с помощью специальных профилей безопасности выявляет атаки (в том числе — нулевого дня) в продуктах SAP NetWeaver, SAP ICM, SAP Management Console и SAP SOAP RFC. Кроме того, анализатор защищенности исходного кода приложений PT Application Inspector поддерживает анализ приложений на языке JAVA для платформы SAP NetWeaver JAVA.

www.ptsecurity.ru   www.maxpatrol.ru   www.securitylab.ru

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку