Атаки на платформу SAP и приложения…
Платформа SAP NetWeaver J2EE Engine представляет собой сервер приложений стандарта J2EE, который позволяет размещать на себе приложения, написанные на Java. Его можно сравнить со знакомым всем Apache Tomcat, только на несколько порядков больше и сложнее, а там где есть сложность, непременно появляются уязвимости. На данном сервере, собственно, и располагаются сами бизнес – системы, такие как SAP Portal, SAP XI, SAP PI или, например, Solution Manager, а также приложения собственной разработки. Такие крупные системы состоят из более мелких приложений, которые по сложности зачастую сопоставимы с полноценным Web – проектом. Данных приложений по умолчанию устанавливается огромное множество. Например, в версии 6.40 их около 500, а в версии 7.2 их уже 1200.
Масштабы впечатляют, а если учитывать, что каждое приложение имеет, помимо общих, также и свои настройки безопасности и уязвимости, то адекватная защита всей платформы, не считая варианта отключения от сети, представляет собой крайне непростую задачу. Рассмотрим основные типы уязвимостей, которые были обнаружены исследовательским центром DSecRG в течение нескольких лет исследования.
Зачастую не позволяет атаковать компанию напрямую, но помогает для дальнейших атак. Были обнаружены следующие уязвимости:
- получение версии и патча движка и приложения;
- неавторизованное чтение некоторых файлов журналирования;
- неавторизованное разглашение имен пользователей;
- неавторизованное сканирование внутренних хостов сети.
Большинство уязвимостей обнаруживается на грани программистской и администраторской ответственности. когда каждая сторона считает, что это не ее область. Тем не менее злоумышленнику, как правило, без разницы, чья это область, и он не откажется воспользоваться обнаруженной уязвимостью. В данном случае для настройки безопасности Web – сервисов используется файл WEB.XML. который программисты зачастую игнорируют или используют минимально. полагаясь на то, что это задача администраторов. Администраторы же. в свою очередь, зачастую вообще не представляют, что есть такой файл и что его настройка влияет на безопасность.
Большинство из данных уязвимостей еще не закрыто производителем. Те, что закрыты, можно исправить, установив SAP Notes.
Также рекомендую почитать:
Loading ...
Ваш отзыв