Большие данные – большие проблемы: как взламывают ERP-системы SAP::Журнал СА 11.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6311
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7020
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4302
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3056
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3852
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3868
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6359
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3211
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3502
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7322
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10685
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12409
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14050
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9172
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7119
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5428
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4660
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3465
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3191
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3434
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3063
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Большие данные – большие проблемы: как взламывают ERP-системы SAP

Архив номеров / 2017 / Выпуск №11 (180) / Большие данные – большие проблемы: как взламывают ERP-системы SAP

Рубрика: Безопасность /  Исследование

Антон Карев АНТОН КАРЕВ, ведущий эксперт Алтайского края по кибербезопасности, с 20-летним стажем. Окончил физтех АлтГУ. Занимается технологической разведкой и подготовкой аналитических обзоров для красной команды правительственных хакеров, anton.barnaul.1984@mail.ru

Большие данные – большие проблемы:
как взламывают ERP-системы SAP

Большие данные – большие проблемы: как взламывают ERP-системы SAPМатериал рассчитан на подготовленного читателя – квалифицированных специалистов из «красной команды». Без надлежащих полномочий описанными здесь методиками пользоваться не стоит. Несанкционированное проникновение в информационные системы преследуется по закону

Концептуальные изъяны архитектуры ERP-систем

Уязвимости есть у любого софта, но ERP-софт имеет определенные особенности, которые делают его в особенности уязвимым [5]:

  • Кастомизация. ERP-софт нельзя просто достать из коробки и установить. Он нуждается в кастомизации под нужды конкретного предприятия. Развернутая на предприятии ERP-система может содержать до 50% кастомизированного кода. Таким образом, ERP-система – это не столько софт, сколько фреймворк для создания софта [5].
  • Комплексность. ERP-системы включают в себя целый комплекс самого разнообразного софта: СУБД, серверные бэкенд-сервисы, клиентские фронтенд-компоненты (см. рис. 1). Кроме того, весь этот софт полагается на широкое разнообразие аппаратных и программных средств (от сторонних разработчиков), которые могут иметь свои собственные уязвимости и ошибки конфигурирования [5].
  • Рискованность. Перед тем как внедрять в развернутую ERP-систему новый патч или конфигурацию (устраняющие недавно обнаруженные уязвимости), ее администратор обязан ясно и детально понять, чем это обернется дляадминистрируемой им ERP-системы. Потому что ответственность за возможные последствия будет лежать именно на администраторе. Очень мало администраторов ERP-систем соглашаются принимать на себя такой риск и поэтому стараются избегать подобных обновлений. С другой стороны, избегая обновлений, администраторы тем самым подвергают свои ERP-системы риску взлома через «устаревшие» уязвимости [5].
  • Удаленный доступ. Под давлением современных бизнес-требований ERP-системы все сильнее увязают в интернете, что делает их еще более доступной для злоумышленников мишенью [11].
  • Концептуальные изъяны. Наиболее серьезные уязвимости ERP-систем принципиально неустранимы, потому что представляют собой концептуальные изъяны архитектуры, которые можно исправить, только если перепроектировать ERP-систему с нуля [4].

Рисунок 1. Составляющие ERP-системы SAP

Рисунок 1. Составляющие ERP-системы SAP

Это лишь некоторые особенности ERP-систем, которые делают эти системы в особенности уязвимыми. Вдобавок к ним в [4] описаны базовые и продвинутые угрозы и атаки на ERP-системы, с акцентом на SAP (Systems, Applications and Products in Data Processing; системы, приложения и продукты для обработки данных, см. рис. 2). В [2] приведено 18 уязвимостей SAP, которые позволяют похищать деньги, критическую платежную информацию и конфиденциальные данные банковских карт, проводить фиктивные платежи, создавать фиктивных клиентов и выводить через них деньги. Возможности взлома ERP-систем расширяются день ото дня. Если разработчики и администраторы ERP-систем неначнут думать о безопасности, то им в ближайшем будущем придется столкнуться с серьезными проблемами.

Рисунок 2. SAP Business Information Warehouse

Рисунок 2. SAP Business Information Warehouse

Обход SoD через удаленный доступ

Широко распространенный миф о том, что для защиты ERP-системы достаточно грамотно настроить матрицу SoD (Segregation of Duties; разделение обязанностей между пользователями), в последнее время полностью развеян. Злоумышленники могут проникать в ERP-системы анонимно, через удаленный доступ, даже не имея действительной учетной записи [14]. Проникнув в систему, злоумышленники могут создать нового пользователя, приписать любого пользователя к любой группе, назначить любую роль любому пользователю [7].

В [6] представлена SSRF-атака (Server Side Request Forgery; злонамеренные запросы внутри доверенной зоны) на SAP NetWeaver. Атака, которая позволяет удаленному злоумышленнику захватить контроль над одним из внутренних доверенных серверов ERP-системы (в обход файрволов и DMZ) без авторизации и затем изнутри, не встречая препятствий со стороны защитных подсистем, сканировать внутренние сетевые порты, отправлять любые HTTP-запросы любым подсистемам, брутфорсить бэкенд-сервисы, производить XXE-туннелирование, делать XML-инъекции. В [6] представлена реализация инструмента XXEScanner, который в полуавтоматическом режиме осуществляет все эти манипуляции.

Пристальный взгляд на веб-инфраструктуру SAP

За долгую историю своего существования SAP разработала несколько технологий для обеспечения веб-доступа к своим ключевым бэкенд-сервисам [11]:

  • SAP Internet Transaction Server (ITS), выпушенный в 1996-м, – это первая попытка SAP обеспечить доступ к своим бэкенд-сервисам через интернет (см. рис. 3). Этот компонент действует как промежуточное программное обеспечение, роль которого главным образом заключается в том, чтобы преобразовывать SAP DynPro (динамические программы) в HTML-страницы. ITS включает в себя два подкомпонента: wGate (взаимодействует с веб-сервером) и aGate (взаимодействует с App-сервером). wGate – это веб-фильтр (CGI/ISAPI), который принимает HTTP-запросы к ITS и переправляет их к aGate. aGate – это обработчик, который принимает запросы от wGate и переправляет их через RFC/DIAG (предварительно отформатировав их) к серверу приложений (в бэкенд-сервере приложений SAP). Затем, когда сервер приложений возвращает через RFC/DIAG результаты своей работы, aGate переводит их в HTML ипереправляет к wGate [11].

Рисунок 3. SAP Internet Transaction Server

Рисунок 3. SAP Internet Transaction Server

  • SAP Internet Communication Manager (ICM). ICM представляет собой усовершенствованную версию ITS (см. рис. 4). В ICM уже нет необходимости развертывать промежуточный слой программного обеспечения (для обработки HTTP-запросов), поскольку начиная с SAP версии 6.40 обработка протоколов HTTP(S) и SMTP интегрирована в ядро SAP (в Web Application Server) в качестве отдельного ICF-сервиса (Internet Communication Framework; фреймворк дляинтернет-коммуникаций) [11].

Рисунок 4. SAP Internet Communication Manager

Рисунок 4. SAP Internet Communication Manager

  • SAP Enterprise Portal (EP). EP – это усовершенствованная версия ICM (см. рис. 5). EP представляет собой J2EE-приложение, построенное на базе SAP J2EE Engine. (Начиная с SAP версии 7.1 J2EE Engine переименован в AS Java.) Три ключевых компонента EP: Portal Platform (персонифицированный интерфейс доступа пользователя к корпоративным ресурсам), Knowledge Management (распространение неструктурированной инсайдерской информации между корпоративными пользователями) и Collaboration (объединение пользователей, информации и приложений в одну среду для коллективной работы; средства и каналы связи включают в себя кабинеты сотрудничества, групповые дискуссии и телеконференции, чаты и обмен сообщениями, совместное использование приложений и календарь группы) [11].

Рисунок 5. SAP Enterprise Portal

Рисунок 5. SAP Enterprise Portal

Поскольку современные SAP-системы подключены к интернету и предоставляют веб-интерфейсы для удаленного доступа, они оставляют в интернете цифровые следы, которые позволяют злоумышленнику находить эти SAP-системы через обычный поиск. Помимо поисковых машин общего назначения, злоумышленники могут пользоваться специализированными поисковыми машинами, такими как Shodan. Shodan индексирует физические устройства, которые в данный момент подключены к интернету: опрашивает порты устройств и на основе полученных ответных баннеров делает выводы об устройствах и развернутых на них сервисах. Поэтому Shodan хорошо справляется с поиском активных устройств, на которых выполняются веб-сервисы SAP-системы. Для того чтобы найти такие устройства, нужно просто выполнить в Shodan поиск по запросу «SAP» [10].

При этом даже если у предприятия, которое пользуется SAP-системой, нет потребности в веб-интерфейсе, этот интерфейс все равно присутствует. Потому что в рамках соглашения, заключаемого с SAP при покупке лицензий напрограммное обеспечение, предприятие соглашается с контрактом на техническую поддержку, которая предоставляется посредством подключения поставщика SAP к SAP-системе обслуживаемого предприятия, через удаленный доступ. Этоподключение осуществляется посредством SAProuter. Хотя такое подключение по идее должно выполняться через VPN-соединение, во многих случаях SAProuter доступен прямо из интернета без каких-либо ограничений [10].

Статью целиком читайте в журнале «Системный администратор», №11 за 2017 г. на страницах 26-34.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Catalin Cimpanu. Watch Someone Buy a Laptop for $1 Thanks to a Severe POS Vulnerability // 2017. URL: https://www.bleepingcomputer.com/news/security/watch-someone-buy-a-laptop-for-1-thanks-to-a-severe-POS-vulnerability (дата обращения: 30 августа 2017).
  2. Ertunga Arsal. SAP, Credit Cards, and the Bird that Talks Too Much // Black Hat. 2014.
  3. Eldar Marcussen. Solutum Cumulus Mediocris // Black Hat. 2014.
  4. Alexander Polyakov. Forgotten World: Corporate Business Application Systems // Black Hat. 2011.
  5. Alexander Polyakov, Alexey Tyurin. Practical pentesting of ERPs and business applications // Black Hat. 2013.
  6. Alexander Polyakov, Dmitry Chastuhin. SSRF vs. Business critical applications // Black Hat. 2012.
  7. Alexander Polyakov. A Crushing Blow At the Heart of SAP J2EE Engine // Black Hat. 2011.
  8. Mariano Nunez. SAP Backdoors: A ghost at the heart of your business // Black Hat. 2010.
  9. Mariano Nunez. Attacking the Giants: Exploiting SAP Internals // Black Hat. 2007.
  10. Mariano Nunez. Cyber-Attacks & SAP systems: Is Our Business-Critical Infrastructure Exposed? // Black Hat. 2012.
  11. Mariano Nunez. Your crown jewels online: Attacks to SAP Web Applications // Black Hat. 2011.
  12. Andreas Wiegenstein. The ABAP Underverse – Risky ABAP to Kernel communication and ABAP-tunneled buffer overflows // Black Hat. 2011.
  13. Martin Gallo. Uncovering SAP Vulnerabilities: Reversing and Breaking the Diag Protocol // DEFCON. 2012.
  14. Juan Perez-Etchegoyen. ERP security: assess, exploit and defend SAP platforms // 2015. URL: https://www.blackhat.com/us-15/training/erp-security-assess-exploit-and-defend-sap-platforms.html (дата обращения: 2 сентября 2017).
  15. Dmitry Chastuhin, Alexander Bolshev. With BIGDATA comes BIG responsibility: Practical exploiting of MDX injections // Black Hat. 2013.
  16. Карев А. Многопоточный клиент-сервер для распределенных вычислений // «Системный администратор», № 1, 2016 г. – С. 93-95. URL: http://samag.ru/archive/article/3128 (дата обращения: 26 октября 2017).

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru