まず、SAPセキュリティのテーマに対処する2つの主要なセキュリティ会議、BlackHatとDefconがありました。 私たち(Digital Securityリサーチラボの専門家)は、BlackHatのSAPに関するレポートとDefconのVMwareに関するレポートの両方のイベントに参加しました。 このプレゼンテーションでは、SAPシステムの保護はSAPアプリケーション自体のセキュリティだけでなく、インフラストラクチャの残りの部分にもあることを確認しているため、ここでVMwareレポートについて言及します。
1. Defcon上のVMwareの脆弱性
この調査は、SAPランドスケープの侵入テスト中に実施されました。 私たちのチームは当然ながらSAPアプリケーションに焦点を当てていましたが、Alexander MinozhenkoはSAPシステムがVMware ESXiプラットフォームにインストールされているという事実に注意を向けました。 つまり、このシステムのすべてのSAPアプリケーションが保護されていても、攻撃者はESXi管理コンソール-vSphereにアクセスすることにより、すべてのシステムを制御することができます。 そのため、彼はすべての仮想マシンへの不正アクセス方法の検索に困惑し、ゼロデイ脆弱性を含む多くのセキュリティホールを使用したそのような方法を見つけました。
詳細はプレゼンテーションで確認できます(英語)。
2. SAPのXXEトンネリングに関するBlackHatでのプレゼンテーション
BlackHatでは、SSRF(Server Side Request Forgery)攻撃について話し、これらの攻撃の多くの例を提供しました。 具体的には、SAPを使用して、いくつかの脆弱性を順番に使用した標的型攻撃の例を示しました。
- Dilbertmsgサービスへの不正アクセス
- XXEトンネリング(XMLを介したTCPパケットトンネリング)
- XMLを介して送信されたRWXメモリ変数に保存する
- SAPカーネルのバッファオーバーフロー
私たちのレポートからマスコミの記事、さらにはビデオインタビューまで、このWeb攻撃に関する多くの情報が利用可能です。
また、XXE脆弱性を悪用するためにXXEスキャナーを作成しました。 すぐにベータ版をリリースして公開します。
3. DefconでのSAP DIAGプロトコルの反転に特化したMartin Galloのプレゼンテーション
CoreSecurity Martin Galloは、DIAGプロトコルの圧縮解除とファジングについて説明しました。 彼の発見の多くは以前に公開されましたが、彼はDIAGプロトコルのバッファオーバーフロー脆弱性の詳細をリリースしました。 これらの脆弱性を使用して、匿名の攻撃者がDoS攻撃を行う可能性があります。 実証された脆弱性の1つは、コードの実行にもつながる可能性があります。 確かに、システムのトレースはレベル3に設定する必要があり、これは産業用システムではあまり一般的ではありません。
4. SAPでのリモートコマンドインジェクション
読者が既に知っているように、SAPは毎月中旬に、SAP製品の脆弱性を発見したセキュリティ研究者に感謝リストを公開しています。 研究者は、3か月後にWebサイトで検出された脆弱性の詳細を公開する権利を持っているため、セキュリティを重視する企業はパッチをインストールできます。
パッチを時間通りにインストールしない人に何が起こるかは、この投稿から明らかです。
Context ISの同僚は、SAP HostControlサービスのコマンドインジェクションの脆弱性の詳細を公開しています。 彼らは、「この脆弱性により、認証なしでSAP管理者に代わって任意のコードを100%の信頼性で実行できるようになる」と述べています。
実際、SAP HostControlへのGetDatabaseStatusコマンドでSOAPリクエストを使用すると、デフォルト設定の場合に匿名で実行されます(ただし、システム設定で作業する場合、この機能を他の多くの機能と同様に無効にできます)-アプリケーションによって実行されるコマンドを実装できますdbmsrv.exeコマンドラインは、SOAP要求から取得したパラメーターを使用してdbmcli.exeを呼び出します。 したがって、OSで任意のコマンドを実行できます。
最も興味深いのは(レポート「 図のSAPセキュリティ 」で説明したように)、多くの企業がインターネットからこのサービスへのオープンアクセスを許可していることです。 数字といえば、世界中でSAPを使用している企業の10%がSAP HostControlへのリモートアクセスを許可しています。 サイバー詐欺師がこのセキュリティホールを使用すると、これらの企業はどうなりますか、想像するのは簡単だと思います。
セキュリティに関する限り、この問題はSAPノート1341333で修正できます。ただし、SAP HostControlを他の同様の攻撃や情報漏えいに関連する問題から保護するために、service / protectedwebmethods = SDEFAULTパラメータも設定することをお勧めします。 リモート呼び出しから保護する必要があるいくつかのメソッドからこのサービスを保護します。 詳細はこちら 。
その後、自動ツールを使用してリモート呼び出しの可能性を確認することをお勧めします。
5. ZDIからのSAP Crystal ReportsおよびSAP BusinessObjectsでのリモートコード実行
ZDIは、 SAP Crystal ReportsおよびSAP BusinessObjectsの2つの脆弱性の詳細を公開しました。 ソースは次のように述べています。「このバグにより、攻撃者は脆弱なSAP Crystal Reportsシステムで任意のコードをリモートで実行できます。 操作の認証は必要ありません。」 このサービスはランダムなポートをリッスンするため、この脆弱性はSAP によってすでに閉じられており、このサービスを悪用するのは通常のバッファオーバーフローよりもやや困難です。
SAP Business Objects FI-COの2番目の脆弱性については、その操作には正当なユーザーの参加が必要です。 CVSSv2による重大度は7.5 です 。パッチはここからダウンロードできます 。
6. 8月のセキュリティ更新
外部の研究者のおかげで 、SAPからの新しいセキュリティアップデートが8 でリリースされましたが、それらについては後で説明します。