根據(jù)Onapsis的調(diào)查報(bào)告，全世界超過25萬企業(yè)因SAP系統(tǒng)中存在的一系列安全漏洞而受到影響，可能導(dǎo)致嚴(yán)重的企業(yè)數(shù)據(jù)泄露。SAP是世界上最受歡迎的企業(yè)應(yīng)用軟件企業(yè)和解決方案提供商，為85%以上的全球500強(qiáng)企業(yè)和190個(gè)國(guó)家的282,000+家客戶提供解決方案。

漏洞原因

最近在對(duì)SAP解決方案提供商進(jìn)行的一項(xiàng)研究顯示，超過95%的企業(yè)SAP存在嚴(yán)重的安全問題，這些問題將它們置于網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)之中并可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露。影響包括98%的100個(gè)最有價(jià)值的品牌在內(nèi)，全世界超過250000個(gè)SAP業(yè)務(wù)客戶都因SAP系統(tǒng)中的一系列漏洞而暴露在網(wǎng)絡(luò)攻擊之下。

Onapsis首席執(zhí)行官M(fèi)ariano Nunez說：

“最令人驚訝的是，因?yàn)镾AP操作團(tuán)隊(duì)和IT安全團(tuán)隊(duì)之間的責(zé)任差距，大多數(shù)公司的SAP網(wǎng)絡(luò)安全都面臨著威脅。事實(shí)上，應(yīng)用的大多數(shù)補(bǔ)丁都與安全無關(guān)、發(fā)布過遲或者引入了進(jìn)一步的操作風(fēng)險(xiǎn)。”

該研究還報(bào)告說，在2014年SAP發(fā)布了391個(gè)安全補(bǔ)丁，而它們中的50%以上都被評(píng)定為高風(fēng)險(xiǎn)漏洞。

攻擊方式及影響范圍

針對(duì)SAP應(yīng)用程序的主要網(wǎng)絡(luò)攻擊(也就是系統(tǒng)弱點(diǎn))分為以下幾類：

1. 核心網(wǎng)絡(luò)：執(zhí)行遠(yuǎn)程功能的模塊。

2. 數(shù)據(jù)倉庫：為了獲取或修改SAP數(shù)據(jù)庫中的信息，利用SAP RFC網(wǎng)關(guān)中的漏洞執(zhí)行管理員權(quán)限指令。

3. 門戶網(wǎng)站攻擊：利用漏洞創(chuàng)建J2EE后門賬戶，以訪問SAP門戶和其他內(nèi)部系統(tǒng)。

報(bào)告中提供了針對(duì)SAP系統(tǒng)最常見的三種網(wǎng)絡(luò)攻擊的細(xì)節(jié)信息，這些攻擊向量使得黑客可以入侵SAP系統(tǒng)并能夠訪問公司數(shù)據(jù)的應(yīng)用程序。經(jīng)過專家研究確認(rèn)，網(wǎng)絡(luò)攻擊將會(huì)嚴(yán)重影響以下關(guān)鍵業(yè)務(wù)進(jìn)程：

1. 在SAP系統(tǒng)之間使用Pivoting，造成客戶信息和信用卡信息泄漏。

2. 客戶和供應(yīng)商門戶攻擊。

3. 通過SAP私有協(xié)議對(duì)數(shù)據(jù)倉庫發(fā)起攻擊。

根據(jù)Nunez所說，SAP HANA應(yīng)該對(duì)新增加的450%的安全補(bǔ)丁負(fù)責(zé)：

“這一趨勢(shì)不僅僅是持續(xù)的，而是隨著SAP HANA更加惡化，因?yàn)镾AP HANA導(dǎo)致新的安全補(bǔ)丁增加了450%。因?yàn)镾AP HANA位于SAP生態(tài)系統(tǒng)的中心，所以存儲(chǔ)在SAP平臺(tái)的數(shù)據(jù)現(xiàn)在必須同時(shí)在云端和前端進(jìn)行保護(hù)。”

安全措施

該報(bào)告還提供了以下行動(dòng)計(jì)劃，用以提高SAP系統(tǒng)的安全級(jí)別：

1. 獲取基于SAP資產(chǎn)的可視化功能，以確定“風(fēng)險(xiǎn)價(jià)值”。

2. 通過持續(xù)監(jiān)控以防止安全性和遵從性問題。

3. 檢測(cè)并應(yīng)對(duì)新威脅、攻擊或用戶異常表現(xiàn)作為攻擊的指示器。

為了保護(hù)SAP軟件，遵循任何SAP安全記錄和監(jiān)控內(nèi)部體系結(jié)構(gòu)非常重要，這能夠有效預(yù)防一些安全問題。

原文轉(zhuǎn)自：http://www.freebuf.com/news/66893.html