Digital Security продемонстрировала многоуровневую атаку на SAP-систему
Эксперты исследовательской лаборатории Digital Security в ходе конференции Black Hat USA рассказали о сложной многоуровневой атаке на SAP-систему, где используются многочисленные эксплойты, включая уязвимость нулевого дня под названием XML Tunneling — один из подвидов атаки класса SSRF (Server Side Request Forgery — англ. «подделка ответа сервера»).
«Сейчас очень много говорят о критической инфраструктуре и о вирусах для кибершпионажа. При этом слишком мало информации о бизнес-системах и, в частности, о возможностях для корпоративного шпионажа и мошенничества, которые открываются при атаке на ERP-системы, такие как SAP. Поскольку в ERP-системе обыкновенно хранится вся критичная для бизнеса информация, конкурент может прибегнуть к промышленному шпионажу и, например, взломать финансовый модуль, где можно найти финансовые отчеты до публикации на бирже, — заявил Александр Поляков, технический директор Digital Security. — Корпоративные войны более чем вероятны, и некоторые крупные компании могут стать жертвами подобного вредоносного ПО. Не менее вероятны и атаки, нарушающие доступность критичной информации, такие как DoS-атаки».
Атака, продемонстрированная на Black Hat, представляет собой последовательную эксплуатацию уязвимостей: неавторизованный доступ к веб-сервису модуля SAPPI, позволяющему отправлять XML-пакеты (сам SAPPI, как правило, доступен через интернет); XML Tunneling — новая техника, позволяющая отправлять любые TCP-пакеты во внутреннюю системы из интернета, пряча их внутри XML-пакетов; переполнение буфера в SAP Kernel. Таким образом, вся атака поместилась в один XML-пакет, который практически ни одна IDS-система не определила бы как вредоносное ПО, подчеркнули в Digital Security.
«SAP долгое время тесно сотрудничала с компанией-докладчиком, чтобы обеспечить своим клиентам безопасность, и благодаря этому заранее выяснила технические подробности продемонстрированной атаки. Данная презентация посвящена возможному сценарию атаки, эксплуатирующему уязвимости в обработке XML. Такие уязвимости характерны для многих разработчиков ПО, не только для SAP. В результате совместной работы с исследователями нам удалось исправить проблему намного раньше, чем она была обнародована, и еще в июне выпустить обновления безопасности для нее (SAP Security Note 1707494). К июльскому обновлению безопасности мы разработали дополнительные механизмы защиты (SAP Security Note 1723641 и 1721309). Если вы еще не установили эти патчи, SAP настоятельно рекомендует сделать это сейчас», — такое предупреждение SAP AG разместила на своем веб-портале. Корпорация также выпустила эксклюзивное обновление безопасности, посвященное исключительно выступлению экспертов Digital Security на Black Hat USA.
«Тем не менее, пользователи SAP не привыкли вовремя устанавливать патчи. Поэтому мы обращаем особое внимание на превентивные меры против атак на SAP-системы. В ERPScan, разработанной нами системе мониторинга безопасности SAP, постоянно добавляются новые проверки для уязвимостей нулевого дня и советы по их исправлению. Наша система также обнаруживает проблемы в ABAP-коде собственной разработки пользователей SAP, где могут быть не только уязвимости, но и программные закладки (бэкдоры). В ходе аудитов безопасности SAP нам приходилось видеть такие бэкдоры, которые, например, воровали деньги из некоторых платежей в пользу разработчиков», — рассказал Александр Поляков.
В то время как SAP оперативно закрыла обнаруженную уязвимость, две недели назад была обнаружена похожая проблема в Oracle JVM. Это означает, что любая бизнес-система, например Peoplesoft или Oracle EBS, которая работает на движке J2EE и использует XML для передачи данных, может быть уязвима к атакам типа SSRF, заключили в Digital Security.
© CNews