Питерские специалисты по ИБ и разработчики SAP-сканера нашли серьезную и еще не закрытую дыру в безопасности этой ERP, позволяющую получить права администратора системы. Питерская компания Digital Security (специализируется на аудите безопасности и разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP немецкого вендора. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.
Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.
Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google “inurl:/irj/portal”. Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.
Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. “Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, – говорит Поляков. – Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет”.
Способ получения прав администратора SAP обнаружили в Питере. Патча пока нет
Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. “В результате оказалось, что взломать можно более половины из доступных серверов” – оценивают исследователи.
“Обход механизма аутентификации происходит без атаки по типу “переполнение буфера”, – поясняет Поляков. – В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя”.
“Digital Security, как партнеры SAP, получают для исследования исходные коды, – говорит CNews гендиректор занимающейся аналогичным аудитом “Диалог-науки” Виктор Сердюк. – В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности”.