Отсутствие обновлений в ПО SAP ставит бизнес крупных компаний под угрозу

23.01.2014

Предупреждаем о том, что уязвимости в системах SAP могут угрожать крупному бизнесу, если не установлены исправления от SAP. На днях компания Nvidia была вынуждена закрыть доступ к сайту клиентской поддержки nvcare.nvidia.com из-за публикации информации о наличии уязвимости на ее сайте.

Детали уязвимости уже не раз публиковались на различных конференциях, посвященных компьютерной безопасности. Компания SAP выпустила необходимые патчи (SAP Security Notes 1467771, 1445998, 1589525 и 1624450).

Несмотря на многократные предупреждения, специалисты Nvidia не установили обновления и не закрыли данную уязвимость. Пример с Nvidia очень показателен, однако не уникален. Так, используя простой Google Dork "inurl:/irj/portal", можно найти большое количество SAP Portal различных компаний, которые так же будут уязвимы.

Этот факт лучше любых слов демонстрирует, что даже в крупных организациях забывают о безопасности внутренних критичных бизнес-систем.

5 января китайские исследователи опубликовали в открытом доступе подробности уязвимости, позволяющей выполнять произвольный код в ОС SAP-сервера. Как сообщили китайцы, брешь присутствовала в SAP NetWeaver, который используется в качестве бэк-энда. Данную уязвимость обнаружили специалисты нашей компании три года назад. Она позволяла удаленному пользователю выполнить произвольный код и получить полный контроль над системой. С ее помощью злоумышленник может обойти аутентификацию и получить доступ к сервлету с критичным функционалом (в случае Nvidia ConfigServlet). Дело в том, что по умолчанию в SAP включен механизм Invoker Servlet, который позволяет обращаться к сервлетам по специально сформированным ссылкам. Проще говоря, злоумышленник может обратиться к сервлету по URI /ctc/servlet/ConfigServlet и получить доступ, не имя никакой роли, в то время как запрос по URI /ctc/ConfigServlet проверял бы наличие прав доступа у пользователя.

Данная уязвимость является критичной не только потому, что позволяет скомпрометировать ОС сервера, но также с ее помощью можно получить доступ к критичным бизнес-данным, которые обрабатываются в ERP-системе.

Подробнее об этой и многих других атаках на SAP Portal можно узнать в презентации "Breaking SAP Portal".

Также немало интересных моментов упомянуто в исследовании "12 Years of SAP Security in Figures".