Digital Security опубликовала глобальное исследование безопасности SAP

Digital Security опубликовала глобальное исследование безопасности SAP

Опубликован отчет исследовательского центра Digital Security «Безопасность SAP в цифрах. Результаты глобального исследования за период 2007–2011» – первое общедоступное статистическое исследование безопасности SAP, включающее детали измерений и описание угроз. 

Удаленный доступ к критичным сервисам SAP-систем открыт из сети Интернет

В ходе исследования, среди всего прочего, исследовательская лаборатория  Digital Security провела сканирование TCP-портов по всей сети Интернет, которое показало, что от 5% до 25% предприятий (в зависимости от типа сервиса), использующих SAP, открывают удаленный доступ к критичным для бизнеса сервисам.  В рамках исследования были просканированы их подсети.

Одной из целей исследования было разоблачение популярного мифа о том, что системы SAP защищены от хакеров, так как доступны только из внутренней сети. В то время как все рекомендации SAP и консалтинговых компаний гласят, что даже внутри сети доступ к административным сервисам необходимо строго ограничивать, обнаружилось, что многие компании некорректно настраивают ландшафт SAP, так что критичные сервисы доступны удаленно через Интернет. Иногда причина в банальной некомпетентности, но иногда компании осознанно принимают решение о том, что им нужен легкий удаленный контроль, а это грубейшее нарушение правил информационной безопасности.

Так, в России обнаружилось 58  систем SAP Router, предназначенных для управления доступом к внутренним системам SAP. SAP Router как таковой может быть небезопасно настроен и позволять проникнуть внутрь компании, но настоящая проблема в том, что 10% этих компаний оставляют открытыми другие сервисы для прямого доступа через Интернет в обход SAP Router, например, сервис SAP Dispatcher. Этот сервис легко эксплуатируется, если войти в систему под стандартной учетной записью или воспользоваться некоторыми другими уязвимостями, которые были закрыты компанией SAP только в мае 2012 года.

Кроме того, 9% мировой выборки (она состояла из 1000 компаний, использующих SAP, по всему миру) не закрыли доступ к сервису SAP Management console, который уязвим к неавторизованному просмотру параметров системы удаленно через Интернет.

Компании  используют старые версии SAP

Одним из неприятных открытий Digital Security было также то, что компании используют старые версии SAP, выпущенные в 2005 году. Информация о публичных веб-серверах на основе SAP NetWeaver была собрана с помощью поисковых систем Google и Shodan. Анализ их версий показал, что самая популярная (45%) конфигурация – это SAP-система на основе NetWeaver 7.0 без дополнений и обновлений безопасности. 

Исследователи Digital Security обеспокоены тем, что новые  безопасные настройки, такие как отключение по умолчанию большей части критичных веб-сервисов (раньше они были по умолчанию включены и несли разнообразные риски), и результаты всей той работы, которую компания SAP провела для улучшения безопасности своих продуктов совместно со сторонними исследователями, появились только в обновлении EHP 2 (Release 7.02). Результаты исследования демонстрируют, что, несмотря на работу компании SAP по улучшению безопасности ее продукта, появление новых настроек безопасности в ПО не означает, что компании действительно будут ими пользоваться и улучшать собственную безопасность.

Уязвимости web-сервисов SAP

Часть данных была обнаружена исследователями Digital Security не только с применением собственной разработки – системы мониторинга безопасности SAP ERPScan, но и с помощью публичных поисковых сервисов, таких как Google и Shodan. Например, 67% систем NetWeaver J2EE и 55% систем NetWeaver ABAP подвержены уязвимости раскрытия информации, так как отдают детальную информацию о версиях серверов приложений и баз данных. Эта информация может помочь хакеру спланировать дальнейшие атаки, и она крайне проста для получения, так как доступна через общедоступные поисковики и не требует ресурсов на дополнительные сканирования.

Саккар Паулюс (Sachar Paulus, вице-президент по защите продукта и безопасности в SAP), сказал в интервью журналу CIO в конце 2008 года, что «Одна из самых важных угроз ERP – это люди, которые подключают свои SAP-системы к Интернету». Итак, спустя 4 года проблема все еще существует и стремительно растет.

Среди 2026 уязвимостей, закрытых компанией SAP на 26 апреля 2012 года (кстати, на 18 июня количество уязвимостей уже более 2300), наиболее популярны уязвимости, связанные с web-приложениями. Например, самая популярная уязвимость – обход каталога (около 14%), а второе место занял межсайтовый скриптинг.

Говоря о критичных сервисах, доступных через web-интерфейс, стоит отметить то, что в 40% систем ABAP NetWeaver в Интернете включен сервис WebRFC, который позволяет вызывать критические административные и бизнес-функции. Он защищен логинами и паролями, но существует множество стандартных учетных записей, которые обычно не отключаются и пароли на которых не меняются. На 61% систем J2EE в Интернете включен сервис CTC. Он подвержен уязвимости, которая называется Verb Tampering, позволяет обходить механизмы аутентификации и удаленно создавать в системе пользователя с любыми правами, и, к сожалению, все еще не исправлена в большинстве компаний. 

Прочие данные

В отчете содержится 40 страниц метрик и графиков, а также такие интересные данные, как:

  • По данным на 26 апреля 2012 года, опубликовано более 2000 уведомлений о безопасности SAP.
  • Большинство проблем (69%) имеют высокий приоритет, а это означает, что 2/3 публикуемых уязвимостей необходимо исправлять в кратчайшие сроки.
  • Поисковая система Shodan обнаружила в Интернете 2677 уникальных серверов с разнообразными веб-приложениями.
  • Самые популярные ОС, которые используются вместе с SAP – Windows NT (28%) и AIX (25%).

Скачать полную версию отчета исследовательского центра Digital Security «Безопасность SAP в цифрах. Результаты глобального исследования за период 2007-2011» можно здесь

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обновление Windows 11 снова доступно для игроков с Easy Anti-Cheat

У Microsoft наконец-то дошли руки до игроков, которых раздражал синий экран смерти при попытке обновиться до Windows 11 версии 24H2. Всё дело было в конфликте с Easy Anti-Cheat — популярной системой античита, которая используется во множестве онлайн-игр вроде Apex Legends, Rust, Fortnite и даже ELDEN RING.

Проблема всплыла в июне: при запуске некоторых игр Windows просто внезапно перезагружалась или выбрасывала BSOD с ошибками, связанными с ntoskrnl.exe или EasyAntiCheat_EOS.exe. Тогда Microsoft даже выпустила срочное обновление (KB5063060), чтобы хоть как-то приглушить панику среди геймеров.

И вот — хорошая новость: 24 июля компания официально сняла ограничение, не дававшее установить новое обновление Windows на устройства с Easy Anti-Cheat. Теперь, если у вас не стоит других блокировок, можно спокойно обновляться через Windows Update.

Хотя есть нюанс: некоторые компьютеры всё ещё могут показывать предупреждение о несовместимой версии Easy Anti-Cheat. Но, по словам Microsoft, если запустить и обновить одну из часто используемых игр, античит подтянет нужную версию сам.

Важно: BSOD больше не будет даже при наличии старой версии античита — если только вы не запускаете с ним игру.

Вообще, это не первая такая история. Ранее Microsoft уже блокировала обновления для некоторых моделей с Intel Alder Lake+ и vPro из-за сбоев в игре Asphalt 8 и тех же синих экранов. А ещё проблемы были у пользователей AutoCAD и Safe Exam Browser — но и эти блокировки уже сняты.

Если вы всё ещё сидите на старой версии Windows 11 из-за «проблем с играми» — самое время проверить обновления.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru