Безопасность SAP: миф или реальность
Давно существует распространенный миф о том, что SAP — это безопасная система, и единственная проблема — это матрица SOD. Попытаемся развеять этот миф окончательно.
За последние 4 года появилось много исследований в области безопасности SAP, проведенных разными специалистами, начиная от атак на SAPGUI и SAP Router, заканчивая архитектурными уязвимостями в протоколе RFC и уязвимостями программ, написанных на АВАР. SAP, в свою очередь, тоже не дремлет и расширяет отдел Security Response Team. Компания выпускает документы – стандарты по техническим вопросам безопасности SAP, подтверждая существование проблемы, связанной с отсутствием единой базы требований к безопасности, а также покупает компании разработчиков систем безопасности, таких как, например, поставщик решений по шифрованию трафика.
Данная статья кратко рассказывает о последнем исследовании, посвященном платформе SAP NelWeaver J2EE Engine, которой, по сравнению с АВАР Engine, уделено крайне мало внимания, а по ее безопасности на сегодняшний день практически не было исследований. Данная платформа используется во множестве продуктов, обеспечивающих интеграцию и контроль над бизнес-приложениями. Критичность данных систем нельзя недооценить, так как они тесно связаны с другими системами, и например, взломав ее – портал предприятия через Интернет, можно получить доступ через SSO ко всем ресурсам компании или, например, через уязвимый SAP Solution Manager можно внедрить злонамеренный код во все подключенные к нему SAP – системы.
Исследования безопасности JAVA данного движка, начатые более 2 лет назад DSecRG, исследовательским центром компании Digital Security, привели к тому, что было обнаружено около 200 уязвимостей, большая часть которых на данный момент закрывается производителем, но осталось еще много неизученных областей, над которыми ведется работа. Практически все уязвимости не являются единичными, а представляют собой целый класс проблем, примеры которого постоянно обнаруживаются, что, к сожалению, не позволяет раз и навсегда защититься и предполагает постоянный контроль, а также анализ безопасности платформы и ее компонентов. Наиболее критичные из обнаруженных уязвимостей позволяют обойти механизм аутентификации и выполнить любое действие в системе удаленно, не используя никаких пользовательских данных. В случае если система имеет доступ в Интернет, даже двухфакторная аутентификация не спасет от данной атаки, и злоумышленник сможет элементарно получить доступ к сердцу компании удаленно.
Поэтому, если вы торгуете техникой от Apple, то он легко может узнать iphone 4s стоимость закупки или другие бухгалтерские данные.