Уязвимости и защита SAP

12.05.2014

Оригинал: http://bis-expert.ru/blog/1826/44283

Автор: Наталья Мутель

На вопросы BISA отвечает Александр Поляков,

технический директор Digital Security

Почему уязвимостям SAP стоит уделять повышенное внимание? Какие риски исходят от них?

Повышенное внимание стоит уделять не каким-то отдельным уязвимостям, а буквально каждой, которую находят различные эксперты ИБ в продуктах компании SAP. Почему? Да потому, что ERP-система является наиболее критичными местом, в котором хранятся и обрабатываются все бизнес-данные любой организации. Таким образом, SAP-системы, несомненно, - привлекательная цель для злоумышленников. Стоит ли упоминать тот факт, что для компрометации системы, а значит, и всех данных, обрабатываемых в ней, может быть достаточно всего одной не закрытой уязвимости? Риски при данном развитии событий самые плачевные: компрометация целостности, доступности и конфиденциальности наиболее важной информации компании.

Какие наиболее известные и опасные уязвимости вы находили в SAP?

За последние 4 года на весь мир прогремели 3 уязвимости в SAP, и все три нашли эксперты Digital Security. 2011 год – уязвимость в SAP Portal, которая позволяла получить удаленный административный доступ, не имея никаких прав (RCE) при помощи простого HTTP запроса. 2012 год – уязвимость в Java-машине, SSRF, позволяющая проникнуть из DMZ внутрь корпоративной сети и успешно ее атаковать, кстати, это был в принципе новый тип атаки, неизвестный никому в мире на тот момент. Сейчас техника SSRF активно используется для атак на разные системы. 2013 год – RCE (удаленный доступ) в SAP Router – эта уязвимость была номинирована на BlackHat на звание лучшей уязвимости года в серверных компонентах (Pwnie Award).

Есть ли примеры реализации уязвимостей в SAP с серьезными потерями для бизнеса, репутации?

Как показывает мировая практика, крупные организации не очень любят афишировать информацию об имевших место инцидентах информационной безопасности, особенно тех, что привели к серьезным репутационным и бизнес потерям. Однако, несколько случаев, связанных с SAP-системами, все же стали достоянием общественности. Сразу же вспоминается взлом министерства финансов Греции, который случился в разгар сложной экономической ситуации в данной стране. Как утверждали злоумышленники, данные были скомпрометированы благодаря использованию уязвимости нулевого дня в одном из SAP-модулей, внедренных в министерстве (https://www.google.ru/search?q=sap+ministry+of+finance+greece) Стоит отметить что ни компания SAP, ни министерство финансов не подтвердили данную информацию. Из недавнего можно вспомнить компанию NVidia, которой пришлось отключить на сутки один из своих клиентских порталов (http://www.pcworld.com/article/2086080/nvidia-takes-customer-site-offline-after-sap-bug-found.html) из-за серьезной уязвимости в SAP-системе. Стоит отметить, что данная уязвимость была найдена двумя годами ранее нашим исследователем Дмитрием Частухиным. Производитель ERP-системы был о ней своевременно проинформирован и выпустил патч в кротчайшие сроки, однако не все компании поспешили сделать обновления. В том числе, проигнорировал патч такой гигант, как NVidia.

Как бороться с уязвимостями? Какой набор профилактических мер вы рекомендуете?

Регулярно «закаляться». Сама собой SAP-система безопасней не станет, так как это большой комплексный продукт. Недостаточно даже вовремя обновляться, ведь существую ошибки конфигурации системы, которые порой приводят к ее компрометации. Также недостаточно сконфигурировать только рабочий мандант системы – их, как правило, несколько в ландшафте. Помимо этого, не стоит забывать о том, что атакующие всегда будут пытаться скомпрометировать наименее защищенную систему: в SAP-ландшафте это могу быть тестовые SAP-системы, которые, как правило, напрямую связаны с продуктивной. Однако и это еще не все: одной из особенностей ERP-систем является большое количество уникального программного кода. Поэтому регулярный аудит ABAP-кода так же является необходимой мерой для обеспечения безопасности SAP-систем. К сожалению, как бы внимательно ни относился SAP к обеспечению безопасности, сегодня основные проблемы по закрытию уязвимостей связаны с действиями заказчиков. Именно они могут свести к минимуму усилия разработчиков. Грамотные тонкие настройки системы – большая редкость, а значат они очень много. Кстати, по результатам последнего исследования, которое мы провели, проанализировав почти 3000 SAP Note, выяснилось, что количество уязвимостей, связанных с конфигурацией, в SAP на уровне 10%, тогда как по мировой статистике этот параметр находится на уровне 2%. Это лучше любых слов иллюстрирует тот факт, что SAP - сложное кастомизируемое решение.

Беспокоит ли пользователей SAP наличие уязвимостей? Из-за чего они переживают в первую очередь?

Будем реалистами: большинство пользователей не задумывается о безопасности своих данных до возникновения серьезного инцидента ИБ. Вполне естественно, что в первую очередь пользователи переживают о конфиденциальности, целостности и доступности.