От 5% до 25% предприятий-пользователей SAP открывают удаленный доступ к критичным для бизнеса сервисам

26.06.2012

(Оригинал на safe.cnews.ru)

Опубликован отчет исследовательского центра Digital Security «Безопасность SAP в цифрах. Результаты глобального исследования за период 2007–2011» по результатам первого общедоступного статистического исследования безопасности SAP, включающего детали измерений и описание угроз. В ходе исследования, среди всего прочего, исследовательская лаборатория Digital Security провела сканирование TCP-портов по всей Сети, которое показало, что от 5% до 25% предприятий (в зависимости от типа сервиса), использующих SAP, открывают удаленный доступ к критичным для бизнеса сервисам. В рамках исследования были также просканированы их подсети.

По данным Digital Security, одной из целей исследования было разоблачение мифа о том, что системы SAP защищены от хакеров, так как доступны только из внутренней сети. В ходе исследования обнаружилось, что многие компании некорректно настраивают ландшафт SAP, так что критичные сервисы доступны удаленно через интернет. «Иногда причина в банальной некомпетентности, но иногда компании осознанно принимают решение о том, что им нужен легкий удаленный контроль, а это грубейшее нарушение правил информационной безопасности», — заметили эксперты исследовательского центра Digital Security.

Так, в России обнаружилось 58 систем SAP Router, предназначенных для управления доступом к внутренним системам SAP. SAP Router как таковой может быть небезопасно настроен и позволять проникнуть внутрь компании, но проблема состоит в том, что 10% компаний-респондентов оставляют открытыми другие сервисы для прямого доступа через интернет в обход SAP Router, например, сервис SAP Dispatcher. Этот сервис легко эксплуатируется, если войти в систему под стандартной учетной записью или воспользоваться некоторыми другими уязвимостями, которые были закрыты компанией SAP только в мае 2012 г.

Кроме того, 9% компаний мировой выборки (она состояла из 1000 компаний, использующих SAP, по всему миру) не закрыли доступ к сервису SAP Management console, который уязвим к неавторизованному просмотру параметров системы удаленно через интернет, говорится в отчете Digital Security.

Одним из неприятных открытий было также то, что компании используют старые версии SAP, выпущенные еще в 2005 г. Информация о публичных веб-серверах на основе SAP NetWeaver была собрана с помощью поисковых систем Google и Shodan. Анализ их версий показал, что самая популярная среди компаний (45%) конфигурация — это SAP-система на основе NetWeaver 7.0 без дополнений и обновлений безопасности. Тем временем, новые безопасные настройки, такие как отключение по умолчанию большей части критичных веб-сервисов (раньше они были по умолчанию включены и несли разнообразные риски), и результаты всей той работы, которую SAP провела для улучшения безопасности своих продуктов совместно со сторонними исследователями, появились только в обновлении EHP 2 (Release 7.02). Таким образом, результаты исследования продемонстрировали, что, несмотря на работу SAP по улучшению безопасности ее продукта, появление новых настроек безопасности в ПО не означает, что компании действительно будут ими пользоваться и улучшать собственную безопасность.

Часть данных была обнаружена исследователями Digital Security не только с применением собственной разработки — системы мониторинга безопасности SAP, но и с помощью публичных поисковых сервисов, таких как Google и Shodan. Например, 67% систем NetWeaver J2EE и 55% систем NetWeaver ABAP подвержены уязвимости раскрытия информации, так как отдают детальную информацию о версиях серверов приложений и баз данных. Эта информация может помочь хакеру спланировать дальнейшие атаки, и она крайне проста для получения, так как доступна через общедоступные поисковики и не требует ресурсов на дополнительные сканирования, подчеркнули в Digital Security.

Среди 2026 уязвимостей, закрытых компанией SAP на 26 апреля 2012 г. (по состоянию на 18 июня число уязвимостей уже превысило 2300), наиболее популярны уязвимости, связанные с веб-приложениями. Например, самая популярная уязвимость — обход каталога (около 14%), а второе место занял межсайтовый скриптинг.

Что же касается критичных сервисов, доступных через веб-интерфейс, то, как показало исследование, в 40% систем ABAP NetWeaver в интернете включен сервис WebRFC, который позволяет вызывать критические административные и бизнес-функции. Он защищен логинами и паролями, но существует множество стандартных учетных записей, которые обычно не отключаются и пароли на которых не меняются. В то же время, на 61% систем J2EE в интернете включен сервис CTC. Он подвержен уязвимости, которая называется Verb Tampering, позволяет обходить механизмы аутентификации и удаленно создавать в системе пользователя с любыми правами (все еще не исправлена в большинстве компаний).

Примечательно, что большинство существующих проблем (69%) имеют высокий приоритет, а это означает, что 2/3 публикуемых уязвимостей необходимо исправлять в кратчайшие сроки, подчеркнули в Digital Security. Скачать полную версию отчета исследовательского центра Digital Security «Безопасность SAP в цифрах. Результаты глобального исследования за период 2007-2011» можно здесь.