SAPのセキュリティを大衆に促進し、実際に明るい瞬間と新しい知り合いのために、デジタルセキュリティでの私の義務に沿って、私は定期的にさまざまな国際セキュリティ会議で話します...情報システムをハッキングする新しい興味深い方法について話します。 BlackHatやHITBなどのイベントに20個以上出演したにもかかわらず、クウェートでの会議は最も珍しいものの1つであったことを今でも覚えています。
اهتمام!
SAPの脆弱性の技術的な詳細のみを読むことに興味がある人は誰でも、この情報はイタリック体で親切に作成され、旅行中の著者の感情的な感情は取り除かれます。 サンプルのSAPハッキングビデオは、記事の最後にあります。
認めるために、当初、私は自分がどこに適合するかについてほとんど知らなかったし、サイバーテロでアラブ人を訓練するために行くと冗談を言った。 後で判明したように、クウェートは、アラブの国ではありますが、貧しくはありません。 世界の石油供給の約10%を抱えるこの国は、さまざまな情報源によると、輸出の90から98%の範囲にある生産のために存在しています(ちなみに、私にとって大きな疑問は残りの2%です)。
この国には約100万人の先住民が住んでおり、実際にはこの富が広がっています。 先住民人口に加えて、クウェートには約350万人の移民がいます。これらは主にインド人とアジア人です。 ですから、原則として、ショップ、ホテル、レストランなど、一般的にどこでもインド人とコミュニケーションをとる必要があります。アラブ人は生活が良く、仕事をしたくないのです。
だから、5月の休暇をアルコールが免税店にさえ入っていない国で過ごす必要がありました。これは多くの人にとって致命的な打撃になるでしょうが、私は少し動揺しませんでした。 クウェートで2日間浪費し、サウジアラビアからイラクとの国境まで旅行しました(私はテマほどそこを突くのはクールではありません)。
石油掘削装置と無限の建設現場を見た後、会議が開催されたホテルに行きました。
最初はホテルは完成していなかったようで、これはなんらかの冗談でした。実際、会議は砂漠のど真ん中のどこから来るのでしょうか。この船はギネスブックに世界最大の木造船としてリストされています)。 彼はホテル、またはイベントが行われた会議室でした。
ホールには、他の会議のような退屈なアームチェアの列ではなく、地元のシェイクが座っていた丸テーブルと、前列の代わりに独立した玉座のベンチが備わっていました。 残り約5分で、私を苦しめたのはたった1人だけでした。
...これは本当にSAP NetWeaverアプリケーションのカーネル関数のバッファオーバーフローについて話し、トランザクションコールを介してこのオーバーフローを悪用する場所です。このオーバーフローを介して、カーネルモジュールを呼び出し、108バイトを転送してEIPなどを上書きする脆弱なレポートを実行する必要があります入力値のサイズが255バイトに制限されていることを考えると、シェルコードの場合は約100、そして詰め込みがどれほど困難でしたか...
そして、私の考えはどこかに散らばって、大騒ぎによって中断されました。 最初のベンチの座席が解放された、最も重要なシェイクが来たように思えました。 集まったすべてのメディアの代表者が彼の写真を撮り終えた後、彼はステージに上がりました...いいえ、会議のトピックを考慮に入れると仮定するのが論理的であるため、キーノートを読み始めませんでしたが、祈り始めました。
...。この時点で、私の頭は再び思考で賑やかでした:私は部屋に行ってプレゼンテーションを作り直し、すべてを捨てて、3枚の写真だけを残しませんか:油、テロリスト、ERPScan ...いいえ、おそらく、失敗とは何ですかサービス中、彼らは想像しますが、おそらく私よりも優れています。つまり、WEBRFCサービスの湾曲したXML要求を処理するときに発生するSAP NetWeaver ABAP WEBインターフェースのサービス拒否の脆弱性を説明できます。 実際、すべてがシンプルです。システムのすべてのユーザーがアクセスできるWebアプリケーションインターフェイスと、デフォルトのSAPユーザーとパスワードのリストをインターネットで検索するのが面倒ではない攻撃者がいます。 システムでさまざまなアクションを実行できる多くのRFC機能がありますが、追加の権限が必要です。また、権限を必要としないRFC_PING機能があります。 私の同僚d00kieがずっと前に発見したXMLパケットパーサーは、XMLエンティティ拡張とXMLブローアップと呼ばれる脆弱性があるという意味で、インド人によって書かれています(以下の例)。 これは、XMLパッケージ内で、ENTITYタグで定義された変数への再帰呼び出しを多数生成するため、XMLパーサーは容赦なくシステムリソースを消費します。 したがって、100件のリクエストを送信すると、サーバーにSAPを簡単に「配置」でき、攻撃が行われている間、会社のすべてのビジネスプロセスが銅の流域で覆われます。
<?xml version="1.0"?> <!DOCTYPE root [ <!ENTITY ha "Ha !"> <!ENTITY ha2 "&ha; &ha;"> <!ENTITY ha3 "&ha2; &ha2;"> <!ENTITY ha4 "&ha3; &ha3;"> <!ENTITY ha5 "&ha4; &ha4;"> ... <!ENTITY ha128 "&ha127; &ha127;"> ]> <root>&ha128;</root>
<?xml version="1.0"?> <!DOCTYPE foobar [<!ENTITY x "AAAAA… [100KB of them] … AAAA">]> <root> <hi>&x;&x;….[30000 of them] … &x;&x;</hi> </root>
開会の辞が終わり、クアリスとシマンテックからのレポートは、クラウドコンピューティングのセキュリティと、情報セキュリティのトレンドについて始まりました。これには、以前から多くのことを聞いていたので、同僚と出会った展示場にさまよいました。この会議への参加を決定したELCOMSOFT企業。 素敵な会社と写真をありがとう。
アンドレイ・ベレンコのレポートはすぐに始まりました-彼の話を聞いて聴衆の反応を見ることにしました。彼は伝統的にかなり技術的なレポートを持っていたので、スピーチを構築する方法と焦点を当てる方法を理解する素晴らしい機会がありました。
...さて、私は考えました:Andreyのレポートはパスワードと暗号化アルゴリズムに関するものであり、これが必要なものです。暗号化専用のSAPの脆弱性の1つしかありません。 秘Theは、SAP GUIアプリケーション(実際、SAPに接続するためのメインクライアントユーティリティ)を使用すると、ショートカットにパスワードを保存できることです。 新しいバージョンではこの機能はデフォルトで禁止されていますが、あなたは理解しています:会計士が快適である必要があるとき、しばしば私は監査で見つけたこれらのショートカットにパスワードが書き留められます。 当然、パスワードは平文で保存されず、暗号化されます。 「暗号化」されていますが、大声で言われています。このような暗号化の場合、DiffieとHelmanはキューブ内のFacepalm順序で著者に授与することになります。 Caesarのコードではなく、基本的には実際のコードです。 暗号化にはXORが使用されました。 静的キーを使用します。 キーは、すべてのバージョンのすべてのインストールで同じです...一般的に、高貴なFAIL、そして最も重要なことには、SAPはこれを脆弱性ではないと見なしたため、誰もそれを修正しません。 まあ、それはバグではないので機能なので、突然「忘れた」パスワードを解読する必要があるかどうかを全員に知らせてください。 ところで、ワークステーション自体へのアクセスも難しくありません。これは、以前に話したSAP GUIのActiveX脆弱性、または同僚が記事で読むことができる、例えば、Teensy USBを使用して実現できます。
実際、私は最初の日をもう覚えていませんでした。そして、聞き手は私の分野でかなり精通しているように見えたのに、ちょっと変わっていました。 翌日、レポートはより技術的なものになり、あるレポートからいくつかの興味深い考えを引き出すことができました。 私がホールに座っている間、私はクウェート人が一般に奇妙な人々であることに気づきました。 目立つことへの情熱はロシア人のそれと同じように発達しており、多くは祖母の相続財産が頭に落ちた子供のように見え、振る舞い、彼らはそれをどうするか本当に知りません。 そのため、たとえば、ほとんどすべての自尊心のあるクウェートには、スマートフォンが2つあり、多くの場合、iPhoneが2つ(白黒)です。 さて、どちらが涼しいかを決めることはできません。したがって、念のため2着ています。
そのため、GRCと権力の差別化の問題について話し合ったSAPセキュリティ同僚のレポートが始まりました。 実際、残念なことに、SAPセキュリティはこの分野の過半数と同等ですが、SAPは2番目のソフトウェアの脆弱性を閉じたため(2000年の80%は過去3年で閉じられました)、SAPセキュリティはこれは力の区別にすぎず、特に奇妙に見えます。 ただし、このテーマについては、別の投稿で何らかの形で展開すると思います。
...このレポートの後、私は元気になりました。なぜなら、最初に、学生は少なくともSAPが何であるかを明確に認識しており、SAPの構成にあまり慣れておらず、問題があることさえ認識していたからです。最低限、権限の分離に関するセキュリティ。 したがって、他の多くの問題があることを伝えることができます。たとえば、内部言語ABAPは、SAPシステムで作成されたプログラムです。 他の多くの言語と同様に、脆弱性が含まれている可能性があり、実際に脆弱性が含まれています。 すべて同じSQLインジェクション、ファイルシステムにアクセスするときのディレクトリトラバーサル、ABAPコードインジェクション、BSP(これらはABAPとHTMLの混合で記述されたWebスクリプトです)、その他の問題、および多くの固有のABAPコードに固有の脆弱性。 SAPで発見された興味深い脆弱性の1つは、WEBアプリケーションで一般的であり、CGIスクリプトから誰もが知っているもので、「OSコマンドの実装」と呼ばれます。 ロジックは同じです。ABAPには、OSコマンドを呼び出すことができるカーネル呼び出しがあります。 これらの呼び出しのパラメーターはユーザーから取得され、フィルターされない場合があります。 したがって、Windowsでコマンドを区切る「&」記号を使用して、たとえば「net user hacker QWERTY / add」という独自のコマンドを呼び出しコマンドに追加できます。これにより、OSに新しいアカウントが作成されます 。
ユーザーEARLYWATCHとパスワードサポートを使用してログインし、OSコマンドを実行する方法の詳細なデモは、ビデオをご覧ください。
その結果、「最も興味深いSAPの脆弱性のトップ10」というレポートを完全に伝えた後、特に面白い脆弱性について非常に好意的なレビューと笑いを聴衆から受け取りました。
その他の脆弱性以下の投稿でさらに詳しく検討します。 SAPセキュリティに関連するすべてのものは、erpscan.com /erpscan.ruプロジェクトWebサイトの研究および出版セクションでも入手できます。
一般に、クウェートはもちろん観光国ではなく、小旅行や適切なサービスに慣れている人々はこの場所に感謝する可能性が低く、さらに戻りたいと思っていますが、それでもアラブ首長国連邦とドバイの初歩はそこにあります。 5年後、クウェートは2番目のドバイになるかもしれませんが、今のところ-家は完成しておらず、水は汚れていて、食べ物はアメリカ人で、免税でもアルコールはありませんが、とてもフレンドリーな人々、砂漠のユニークな景色、アラビア風の味、そしてささいな場所です。