Большие данные – большие проблемы: как взламывают ERP-системы SAP::Журнал СА 11.2017
www.samag.ru
     
Поиск  
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Сетевой агент
О журнале
Журнал «БИТ»
Информация для ВАК
Звезды «СА»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Форум
Вакансии
Спроси юриста
Игры
Контакты
   
Слайд шоу  
Представляем работы Виктора Чумачева
Виктор Чумачев – известный московский художник, который сотрудничает с «Системным администратором» уже несколько лет. Именно его забавные и воздушные, как ИТ, иллюстрации украшают многие серьезные статьи в журнале. Работы Виктора Чумачева хорошо знакомы читателям в России («Комсомольская правда», «Известия», «Московские новости», Коммерсант и др.) и за рубежом (США, Германия). Каждый раз, получая новый рисунок Виктора, мы в редакции улыбаемся. А улыбка, как известно, смягчает душу. Поэтому смотрите на его рисунки – и пусть у вас будет хорошее настроение!
1001 и 1 книга  
22.11.2018г.
Просмотров: 202
Комментарии: 0
MySQL 8 для больших данных

 Читать далее...

22.11.2018г.
Просмотров: 130
Комментарии: 0
Осваиваем C++17 STL

 Читать далее...

22.11.2018г.
Просмотров: 168
Комментарии: 0
Решение задач на современном C++

 Читать далее...

22.11.2018г.
Просмотров: 127
Комментарии: 0
Программируй на Haskell

 Читать далее...

29.10.2018г.
Просмотров: 450
Комментарии: 0
Информатика. Учебник, 4-е издание, цветное, переработанное и дополненное

 Читать далее...

Дискуссии  
17.09.2014г.
Просмотров: 19951
Комментарии: 3
Красть или не красть? О пиратском ПО как о российском феномене

Тема контрафактного ПО и защиты авторских прав сегодня актуальна как никогда. Мы представляем ...

 Читать далее...

03.03.2014г.
Просмотров: 22103
Комментарии: 1
Жизнь под дамокловым мечом

Политические события как катализатор возникновения уязвимости Законодательная инициатива Государственной Думы и силовых структур, ...

 Читать далее...

23.01.2014г.
Просмотров: 30739
Комментарии: 3
ИТ-специалист будущего. Кто он?

Так уж устроен человек, что взгляд его обращен чаще всего в Будущее, ...

 Читать далее...


  Опросы

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Большие данные – большие проблемы: как взламывают ERP-системы SAP

Архив номеров / 2017 / Выпуск №11 (180) / Большие данные – большие проблемы: как взламывают ERP-системы SAP

Рубрика: Безопасность /  Исследование

Антон Карев АНТОН КАРЕВ, ведущий эксперт Алтайского края по кибербезопасности, с 20-летним стажем. Окончил физтех АлтГУ. Занимается технологической разведкой и подготовкой аналитических обзоров для красной команды правительственных хакеров, anton.barnaul.1984@mail.ru

Большие данные – большие проблемы:
как взламывают ERP-системы SAP

Большие данные – большие проблемы: как взламывают ERP-системы SAPМатериал рассчитан на подготовленного читателя – квалифицированных специалистов из «красной команды». Без надлежащих полномочий описанными здесь методиками пользоваться не стоит. Несанкционированное проникновение в информационные системы преследуется по закону

Концептуальные изъяны архитектуры ERP-систем

Уязвимости есть у любого софта, но ERP-софт имеет определенные особенности, которые делают его в особенности уязвимым [5]:

  • Кастомизация. ERP-софт нельзя просто достать из коробки и установить. Он нуждается в кастомизации под нужды конкретного предприятия. Развернутая на предприятии ERP-система может содержать до 50% кастомизированного кода. Таким образом, ERP-система – это не столько софт, сколько фреймворк для создания софта [5].
  • Комплексность. ERP-системы включают в себя целый комплекс самого разнообразного софта: СУБД, серверные бэкенд-сервисы, клиентские фронтенд-компоненты (см. рис. 1). Кроме того, весь этот софт полагается на широкое разнообразие аппаратных и программных средств (от сторонних разработчиков), которые могут иметь свои собственные уязвимости и ошибки конфигурирования [5].
  • Рискованность. Перед тем как внедрять в развернутую ERP-систему новый патч или конфигурацию (устраняющие недавно обнаруженные уязвимости), ее администратор обязан ясно и детально понять, чем это обернется дляадминистрируемой им ERP-системы. Потому что ответственность за возможные последствия будет лежать именно на администраторе. Очень мало администраторов ERP-систем соглашаются принимать на себя такой риск и поэтому стараются избегать подобных обновлений. С другой стороны, избегая обновлений, администраторы тем самым подвергают свои ERP-системы риску взлома через «устаревшие» уязвимости [5].
  • Удаленный доступ. Под давлением современных бизнес-требований ERP-системы все сильнее увязают в интернете, что делает их еще более доступной для злоумышленников мишенью [11].
  • Концептуальные изъяны. Наиболее серьезные уязвимости ERP-систем принципиально неустранимы, потому что представляют собой концептуальные изъяны архитектуры, которые можно исправить, только если перепроектировать ERP-систему с нуля [4].

Рисунок 1. Составляющие ERP-системы SAP

Рисунок 1. Составляющие ERP-системы SAP

Это лишь некоторые особенности ERP-систем, которые делают эти системы в особенности уязвимыми. Вдобавок к ним в [4] описаны базовые и продвинутые угрозы и атаки на ERP-системы, с акцентом на SAP (Systems, Applications and Products in Data Processing; системы, приложения и продукты для обработки данных, см. рис. 2). В [2] приведено 18 уязвимостей SAP, которые позволяют похищать деньги, критическую платежную информацию и конфиденциальные данные банковских карт, проводить фиктивные платежи, создавать фиктивных клиентов и выводить через них деньги. Возможности взлома ERP-систем расширяются день ото дня. Если разработчики и администраторы ERP-систем неначнут думать о безопасности, то им в ближайшем будущем придется столкнуться с серьезными проблемами.

Рисунок 2. SAP Business Information Warehouse

Рисунок 2. SAP Business Information Warehouse

Обход SoD через удаленный доступ

Широко распространенный миф о том, что для защиты ERP-системы достаточно грамотно настроить матрицу SoD (Segregation of Duties; разделение обязанностей между пользователями), в последнее время полностью развеян. Злоумышленники могут проникать в ERP-системы анонимно, через удаленный доступ, даже не имея действительной учетной записи [14]. Проникнув в систему, злоумышленники могут создать нового пользователя, приписать любого пользователя к любой группе, назначить любую роль любому пользователю [7].

В [6] представлена SSRF-атака (Server Side Request Forgery; злонамеренные запросы внутри доверенной зоны) на SAP NetWeaver. Атака, которая позволяет удаленному злоумышленнику захватить контроль над одним из внутренних доверенных серверов ERP-системы (в обход файрволов и DMZ) без авторизации и затем изнутри, не встречая препятствий со стороны защитных подсистем, сканировать внутренние сетевые порты, отправлять любые HTTP-запросы любым подсистемам, брутфорсить бэкенд-сервисы, производить XXE-туннелирование, делать XML-инъекции. В [6] представлена реализация инструмента XXEScanner, который в полуавтоматическом режиме осуществляет все эти манипуляции.

Пристальный взгляд на веб-инфраструктуру SAP

За долгую историю своего существования SAP разработала несколько технологий для обеспечения веб-доступа к своим ключевым бэкенд-сервисам [11]:

  • SAP Internet Transaction Server (ITS), выпушенный в 1996-м, – это первая попытка SAP обеспечить доступ к своим бэкенд-сервисам через интернет (см. рис. 3). Этот компонент действует как промежуточное программное обеспечение, роль которого главным образом заключается в том, чтобы преобразовывать SAP DynPro (динамические программы) в HTML-страницы. ITS включает в себя два подкомпонента: wGate (взаимодействует с веб-сервером) и aGate (взаимодействует с App-сервером). wGate – это веб-фильтр (CGI/ISAPI), который принимает HTTP-запросы к ITS и переправляет их к aGate. aGate – это обработчик, который принимает запросы от wGate и переправляет их через RFC/DIAG (предварительно отформатировав их) к серверу приложений (в бэкенд-сервере приложений SAP). Затем, когда сервер приложений возвращает через RFC/DIAG результаты своей работы, aGate переводит их в HTML ипереправляет к wGate [11].

Рисунок 3. SAP Internet Transaction Server

Рисунок 3. SAP Internet Transaction Server

  • SAP Internet Communication Manager (ICM). ICM представляет собой усовершенствованную версию ITS (см. рис. 4). В ICM уже нет необходимости развертывать промежуточный слой программного обеспечения (для обработки HTTP-запросов), поскольку начиная с SAP версии 6.40 обработка протоколов HTTP(S) и SMTP интегрирована в ядро SAP (в Web Application Server) в качестве отдельного ICF-сервиса (Internet Communication Framework; фреймворк дляинтернет-коммуникаций) [11].

Рисунок 4. SAP Internet Communication Manager

Рисунок 4. SAP Internet Communication Manager

  • SAP Enterprise Portal (EP). EP – это усовершенствованная версия ICM (см. рис. 5). EP представляет собой J2EE-приложение, построенное на базе SAP J2EE Engine. (Начиная с SAP версии 7.1 J2EE Engine переименован в AS Java.) Три ключевых компонента EP: Portal Platform (персонифицированный интерфейс доступа пользователя к корпоративным ресурсам), Knowledge Management (распространение неструктурированной инсайдерской информации между корпоративными пользователями) и Collaboration (объединение пользователей, информации и приложений в одну среду для коллективной работы; средства и каналы связи включают в себя кабинеты сотрудничества, групповые дискуссии и телеконференции, чаты и обмен сообщениями, совместное использование приложений и календарь группы) [11].

Рисунок 5. SAP Enterprise Portal

Рисунок 5. SAP Enterprise Portal

Поскольку современные SAP-системы подключены к интернету и предоставляют веб-интерфейсы для удаленного доступа, они оставляют в интернете цифровые следы, которые позволяют злоумышленнику находить эти SAP-системы через обычный поиск. Помимо поисковых машин общего назначения, злоумышленники могут пользоваться специализированными поисковыми машинами, такими как Shodan. Shodan индексирует физические устройства, которые в данный момент подключены к интернету: опрашивает порты устройств и на основе полученных ответных баннеров делает выводы об устройствах и развернутых на них сервисах. Поэтому Shodan хорошо справляется с поиском активных устройств, на которых выполняются веб-сервисы SAP-системы. Для того чтобы найти такие устройства, нужно просто выполнить в Shodan поиск по запросу «SAP» [10].

При этом даже если у предприятия, которое пользуется SAP-системой, нет потребности в веб-интерфейсе, этот интерфейс все равно присутствует. Потому что в рамках соглашения, заключаемого с SAP при покупке лицензий напрограммное обеспечение, предприятие соглашается с контрактом на техническую поддержку, которая предоставляется посредством подключения поставщика SAP к SAP-системе обслуживаемого предприятия, через удаленный доступ. Этоподключение осуществляется посредством SAProuter. Хотя такое подключение по идее должно выполняться через VPN-соединение, во многих случаях SAProuter доступен прямо из интернета без каких-либо ограничений [10].

Статью целиком читайте в журнале «Системный администратор», №11 за 2017 г. на страницах 26-34.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Catalin Cimpanu. Watch Someone Buy a Laptop for $1 Thanks to a Severe POS Vulnerability // 2017. URL: https://www.bleepingcomputer.com/news/security/watch-someone-buy-a-laptop-for-1-thanks-to-a-severe-POS-vulnerability (дата обращения: 30 августа 2017).
  2. Ertunga Arsal. SAP, Credit Cards, and the Bird that Talks Too Much // Black Hat. 2014.
  3. Eldar Marcussen. Solutum Cumulus Mediocris // Black Hat. 2014.
  4. Alexander Polyakov. Forgotten World: Corporate Business Application Systems // Black Hat. 2011.
  5. Alexander Polyakov, Alexey Tyurin. Practical pentesting of ERPs and business applications // Black Hat. 2013.
  6. Alexander Polyakov, Dmitry Chastuhin. SSRF vs. Business critical applications // Black Hat. 2012.
  7. Alexander Polyakov. A Crushing Blow At the Heart of SAP J2EE Engine // Black Hat. 2011.
  8. Mariano Nunez. SAP Backdoors: A ghost at the heart of your business // Black Hat. 2010.
  9. Mariano Nunez. Attacking the Giants: Exploiting SAP Internals // Black Hat. 2007.
  10. Mariano Nunez. Cyber-Attacks & SAP systems: Is Our Business-Critical Infrastructure Exposed? // Black Hat. 2012.
  11. Mariano Nunez. Your crown jewels online: Attacks to SAP Web Applications // Black Hat. 2011.
  12. Andreas Wiegenstein. The ABAP Underverse – Risky ABAP to Kernel communication and ABAP-tunneled buffer overflows // Black Hat. 2011.
  13. Martin Gallo. Uncovering SAP Vulnerabilities: Reversing and Breaking the Diag Protocol // DEFCON. 2012.
  14. Juan Perez-Etchegoyen. ERP security: assess, exploit and defend SAP platforms // 2015. URL: https://www.blackhat.com/us-15/training/erp-security-assess-exploit-and-defend-sap-platforms.html (дата обращения: 2 сентября 2017).
  15. Dmitry Chastuhin, Alexander Bolshev. With BIGDATA comes BIG responsibility: Practical exploiting of MDX injections // Black Hat. 2013.
  16. Карев А. Многопоточный клиент-сервер для распределенных вычислений // «Системный администратор», № 1, 2016 г. – С. 93-95. URL: http://samag.ru/archive/article/3128 (дата обращения: 26 октября 2017).

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru