На ZeroNights рассказали о безопасности интеграционных шин предприятия

19.12.2012

19–­20 ноября в Москве проходила международная конференция ZeroNights, организованная компанией Digital Security совместно с партнером – Careerlab, при участии «Яндекса». Одним из направлений исследований, освещенных в рамках конференции, была безопасность бизнес-приложений, которые хранят и обрабатывают конфиденциальную информацию компании. Наиболее критичными из таких приложений по праву считаются ERP-системы, хранящие информацию о финансах, сотрудниках, материалах, зарплатах и прочие данные.

Неавторизованный доступ к таким системам может привести к шпионажу, саботажу и мошенничеству. На конференции ZeroNights на стенде компании Digital Security можно было своими глазами наблюдать примеры уязвимостей в SAP – одной из наиболее популярных ERP-систем. Специалисты продемонстрировали примеры взлома SAP через web-интерфейс: получив при помощи простого GET-запроса доступ к операционной системе, ключ и зашифрованный пароль администратора, а затем расшифровав пароль полученным ключом, хакеры подключились к системе с правами администратора.

Но как бы критичны ни были ERP-системы, это далеко не единственное, на что компании должны обращать внимание. Так, на ZeroNights был ряд докладов о других корпоративных системах, таких как решения Single Sign-On от Андрея Петухова и интеграционные шины предприятия (ESB) от Александра Полякова – технического директора компании Digital Security.

Андрей рассказал об различных угрозах на приложения Identity Management, компрометация которых может привести к получению доступа к критичным приложениям, которые интегрированы в данную систему. На примере приложения OpenAM исследователь представил ряд уязвимостей, позволяющих получить полный контроль над системой аутентификации, используя в том числе и актуальный вектор атаки – SSRF. Помимо самих уязвимостей была представлена утилита, позволяющая серьезно упростить проведение SSRF-атак, что очень актуально для тестов на проникновение.

Александр Поляков в своем докладе «Как бы я атаковал корпоративную сеть крупной корпорации» объяснил, что интеграционные шины внедрены практически в каждой крупной компании и позволяют реализовать обмен данными между различными бизнес-приложениями. Но самое интересное в том, что эти системы также связывают сеть компании с офисами подрядчиков, партнеров, банков, налоговых и прочих организаций. Один из векторов атаки, представленный на конференции – это взлом сети небольшой незащищенной компании, а далее атака на интеграционную шину крупной партнерской компании для проникновения в ее защищенную сеть.

В докладе были рассмотрены уже известные проблемы безопасности интеграционных шин WebSphere MQ и SAP PI, а также абсолютно новая информация, касающаяся шины Microsoft Biztalk.

«Много внимания было уделено Microsoft Biztalk, так как это решение достаточно часто встречается в банковском секторе, который является одним из основных направлений наших консалтинговых услуг. Интеграционные шины имеют ряд существенных отличий в плане оценки защищенности, поскольку в них больше кастомного кода и настроек и гораздо меньше настроек по умолчанию по сравнению с типовыми бизнес-приложениями, такими как ERP-системы. Фактически шина – это всего лишь фреймворк, на основе которого разрабатывается интегрирующая структура. В случае недостаточно жестких ограничений или ошибок в разработке, связанных с трансформацией документов, возможны атаки, связанные с подделкой маршрутов, и, как следствие, неавторизованный доступ к доверенным ресурсам, а также различные атаки типа SSRF. Кроме того, сложность интеграции различных систем приводит к тому, что настройка того же шифрования не реализуется и критичные данные передаются в открытом виде. Важнейшей, наверное, особенностью является то, что из-за огромного объема кастомизации и малого количества типовых настроек эффективный аудит данных приложений возможен только вручную, так как сама по себе система имеет немного уязвимостей, и патч-менеджмент или сторонние продукты безопасности в лучшем случае защитят платформу, но не код собственной разработки», – отметил Александр.