Большие данные – большие проблемы: как взламывают ERP-системы SAP

 АНТОН КАРЕВ, ведущий эксперт Алтайского края по кибербезопасности, с 20-летним стажем. Окончил физтех АлтГУ. Занимается технологической разведкой и подготовкой аналитических обзоров для красной команды правительственных хакеров, anton.barnaul.1984@mail.ru

Большие данные – большие проблемы:
как взламывают ERP-системы SAP

Материал рассчитан на подготовленного читателя – квалифицированных специалистов из «красной команды». Без надлежащих полномочий описанными здесь методиками пользоваться не стоит. Несанкционированное проникновение в информационные системы преследуется по закону

Концептуальные изъяны архитектуры ERP-систем

Уязвимости есть у любого софта, но ERP-софт имеет определенные особенности, которые делают его в особенности уязвимым [5]:

• Кастомизация. ERP-софт нельзя просто достать из коробки и установить. Он нуждается в кастомизации под нужды конкретного предприятия. Развернутая на предприятии ERP-система может содержать до 50% кастомизированного кода. Таким образом, ERP-система – это не столько софт, сколько фреймворк для создания софта [5].
• Комплексность. ERP-системы включают в себя целый комплекс самого разнообразного софта: СУБД, серверные бэкенд-сервисы, клиентские фронтенд-компоненты (см. рис. 1). Кроме того, весь этот софт полагается на широкое разнообразие аппаратных и программных средств (от сторонних разработчиков), которые могут иметь свои собственные уязвимости и ошибки конфигурирования [5].
• Рискованность. Перед тем как внедрять в развернутую ERP-систему новый патч или конфигурацию (устраняющие недавно обнаруженные уязвимости), ее администратор обязан ясно и детально понять, чем это обернется дляадминистрируемой им ERP-системы. Потому что ответственность за возможные последствия будет лежать именно на администраторе. Очень мало администраторов ERP-систем соглашаются принимать на себя такой риск и поэтому стараются избегать подобных обновлений. С другой стороны, избегая обновлений, администраторы тем самым подвергают свои ERP-системы риску взлома через «устаревшие» уязвимости [5].
• Удаленный доступ. Под давлением современных бизнес-требований ERP-системы все сильнее увязают в интернете, что делает их еще более доступной для злоумышленников мишенью [11].
• Концептуальные изъяны. Наиболее серьезные уязвимости ERP-систем принципиально неустранимы, потому что представляют собой концептуальные изъяны архитектуры, которые можно исправить, только если перепроектировать ERP-систему с нуля [4].

Рисунок 1. Составляющие ERP-системы SAP

Это лишь некоторые особенности ERP-систем, которые делают эти системы в особенности уязвимыми. Вдобавок к ним в [4] описаны базовые и продвинутые угрозы и атаки на ERP-системы, с акцентом на SAP (Systems, Applications and Products in Data Processing; системы, приложения и продукты для обработки данных, см. рис. 2). В [2] приведено 18 уязвимостей SAP, которые позволяют похищать деньги, критическую платежную информацию и конфиденциальные данные банковских карт, проводить фиктивные платежи, создавать фиктивных клиентов и выводить через них деньги. Возможности взлома ERP-систем расширяются день ото дня. Если разработчики и администраторы ERP-систем неначнут думать о безопасности, то им в ближайшем будущем придется столкнуться с серьезными проблемами.

Рисунок 2. SAP Business Information Warehouse

Обход SoD через удаленный доступ

Широко распространенный миф о том, что для защиты ERP-системы достаточно грамотно настроить матрицу SoD (Segregation of Duties; разделение обязанностей между пользователями), в последнее время полностью развеян. Злоумышленники могут проникать в ERP-системы анонимно, через удаленный доступ, даже не имея действительной учетной записи [14]. Проникнув в систему, злоумышленники могут создать нового пользователя, приписать любого пользователя к любой группе, назначить любую роль любому пользователю [7].

В [6] представлена SSRF-атака (Server Side Request Forgery; злонамеренные запросы внутри доверенной зоны) на SAP NetWeaver. Атака, которая позволяет удаленному злоумышленнику захватить контроль над одним из внутренних доверенных серверов ERP-системы (в обход файрволов и DMZ) без авторизации и затем изнутри, не встречая препятствий со стороны защитных подсистем, сканировать внутренние сетевые порты, отправлять любые HTTP-запросы любым подсистемам, брутфорсить бэкенд-сервисы, производить XXE-туннелирование, делать XML-инъекции. В [6] представлена реализация инструмента XXEScanner, который в полуавтоматическом режиме осуществляет все эти манипуляции.

Пристальный взгляд на веб-инфраструктуру SAP

За долгую историю своего существования SAP разработала несколько технологий для обеспечения веб-доступа к своим ключевым бэкенд-сервисам [11]:

• SAP Internet Transaction Server (ITS), выпушенный в 1996-м, – это первая попытка SAP обеспечить доступ к своим бэкенд-сервисам через интернет (см. рис. 3). Этот компонент действует как промежуточное программное обеспечение, роль которого главным образом заключается в том, чтобы преобразовывать SAP DynPro (динамические программы) в HTML-страницы. ITS включает в себя два подкомпонента: wGate (взаимодействует с веб-сервером) и aGate (взаимодействует с App-сервером). wGate – это веб-фильтр (CGI/ISAPI), который принимает HTTP-запросы к ITS и переправляет их к aGate. aGate – это обработчик, который принимает запросы от wGate и переправляет их через RFC/DIAG (предварительно отформатировав их) к серверу приложений (в бэкенд-сервере приложений SAP). Затем, когда сервер приложений возвращает через RFC/DIAG результаты своей работы, aGate переводит их в HTML ипереправляет к wGate [11].

Рисунок 3. SAP Internet Transaction Server

• SAP Internet Communication Manager (ICM). ICM представляет собой усовершенствованную версию ITS (см. рис. 4). В ICM уже нет необходимости развертывать промежуточный слой программного обеспечения (для обработки HTTP-запросов), поскольку начиная с SAP версии 6.40 обработка протоколов HTTP(S) и SMTP интегрирована в ядро SAP (в Web Application Server) в качестве отдельного ICF-сервиса (Internet Communication Framework; фреймворк дляинтернет-коммуникаций) [11].

Рисунок 4. SAP Internet Communication Manager

• SAP Enterprise Portal (EP). EP – это усовершенствованная версия ICM (см. рис. 5). EP представляет собой J2EE-приложение, построенное на базе SAP J2EE Engine. (Начиная с SAP версии 7.1 J2EE Engine переименован в AS Java.) Три ключевых компонента EP: Portal Platform (персонифицированный интерфейс доступа пользователя к корпоративным ресурсам), Knowledge Management (распространение неструктурированной инсайдерской информации между корпоративными пользователями) и Collaboration (объединение пользователей, информации и приложений в одну среду для коллективной работы; средства и каналы связи включают в себя кабинеты сотрудничества, групповые дискуссии и телеконференции, чаты и обмен сообщениями, совместное использование приложений и календарь группы) [11].

Рисунок 5. SAP Enterprise Portal

Поскольку современные SAP-системы подключены к интернету и предоставляют веб-интерфейсы для удаленного доступа, они оставляют в интернете цифровые следы, которые позволяют злоумышленнику находить эти SAP-системы через обычный поиск. Помимо поисковых машин общего назначения, злоумышленники могут пользоваться специализированными поисковыми машинами, такими как Shodan. Shodan индексирует физические устройства, которые в данный момент подключены к интернету: опрашивает порты устройств и на основе полученных ответных баннеров делает выводы об устройствах и развернутых на них сервисах. Поэтому Shodan хорошо справляется с поиском активных устройств, на которых выполняются веб-сервисы SAP-системы. Для того чтобы найти такие устройства, нужно просто выполнить в Shodan поиск по запросу «SAP» [10].

При этом даже если у предприятия, которое пользуется SAP-системой, нет потребности в веб-интерфейсе, этот интерфейс все равно присутствует. Потому что в рамках соглашения, заключаемого с SAP при покупке лицензий напрограммное обеспечение, предприятие соглашается с контрактом на техническую поддержку, которая предоставляется посредством подключения поставщика SAP к SAP-системе обслуживаемого предприятия, через удаленный доступ. Этоподключение осуществляется посредством SAProuter. Хотя такое подключение по идее должно выполняться через VPN-соединение, во многих случаях SAProuter доступен прямо из интернета без каких-либо ограничений [10].

Статью целиком читайте в журнале «Системный администратор», №11 за 2017 г. на страницах 26-34.

PDF-версию данного номера можно приобрести в нашем магазине.

1. Catalin Cimpanu. Watch Someone Buy a Laptop for $1 Thanks to a Severe POS Vulnerability // 2017. URL: https://www.bleepingcomputer.com/news/security/watch-someone-buy-a-laptop-for-1-thanks-to-a-severe-POS-vulnerability (дата обращения: 30 августа 2017).
2. Ertunga Arsal. SAP, Credit Cards, and the Bird that Talks Too Much // Black Hat. 2014.
3. Eldar Marcussen. Solutum Cumulus Mediocris // Black Hat. 2014.
4. Alexander Polyakov. Forgotten World: Corporate Business Application Systems // Black Hat. 2011.
5. Alexander Polyakov, Alexey Tyurin. Practical pentesting of ERPs and business applications // Black Hat. 2013.
6. Alexander Polyakov, Dmitry Chastuhin. SSRF vs. Business critical applications // Black Hat. 2012.
7. Alexander Polyakov. A Crushing Blow At the Heart of SAP J2EE Engine // Black Hat. 2011.
8. Mariano Nunez. SAP Backdoors: A ghost at the heart of your business // Black Hat. 2010.
9. Mariano Nunez. Attacking the Giants: Exploiting SAP Internals // Black Hat. 2007.
10. Mariano Nunez. Cyber-Attacks & SAP systems: Is Our Business-Critical Infrastructure Exposed? // Black Hat. 2012.
11. Mariano Nunez. Your crown jewels online: Attacks to SAP Web Applications // Black Hat. 2011.
12. Andreas Wiegenstein. The ABAP Underverse – Risky ABAP to Kernel communication and ABAP-tunneled buffer overflows // Black Hat. 2011.
13. Martin Gallo. Uncovering SAP Vulnerabilities: Reversing and Breaking the Diag Protocol // DEFCON. 2012.
14. Juan Perez-Etchegoyen. ERP security: assess, exploit and defend SAP platforms // 2015. URL: https://www.blackhat.com/us-15/training/erp-security-assess-exploit-and-defend-sap-platforms.html (дата обращения: 2 сентября 2017).
15. Dmitry Chastuhin, Alexander Bolshev. With BIGDATA comes BIG responsibility: Practical exploiting of MDX injections // Black Hat. 2013.
16. Карев А. Многопоточный клиент-сервер для распределенных вычислений // «Системный администратор», № 1, 2016 г. – С. 93-95. URL: http://samag.ru/archive/article/3128 (дата обращения: 26 октября 2017).

Комментарии могут оставлять только зарегистрированные пользователи