Российские эксперты показали пример взлома SAP-приложения на конференции BlackHat

На ежегодной конференции BlackHat в США компания ERPScan, созданная исследовательской лабораторией DSecRG (Digital Security Research Group), выступила с презентацией, посвящённой целевым атакам на SAP-системы.

По словам Александра Полякова, технического директора ERPScan, ERP-системы, такие как SAP, хранят в себе всю критичную для бизнеса информацию, а значит очень важно охранять их от попыток кибершпионажа, который в настоящее время более чем вероятен.

Во время доклада был продемонстрирован пример сложной многоуровневой атаки, представляющей собой последовательную эксплуатацию уязвимостей системы SAP.

Поскольку модуль SAP PI часто доступен через Интернет, злоумышленникам достаточно иметь неавторизованный доступ к его веб-сервису, с помощью которого можно отправлять XML-пакеты.

Далее применяется новая техника — XML Tunneling, подвид атаки типа SSRF (Server Side Request Forgery, или подделка ответа сервера). Из Интернета во внутреннюю систему посылаются TCP-пакеты, спрятанные внутри XML-пакетов, которые практически никогда не распознаются системой как вредоносное ПО.

Затем буфер в SAP Kernel переполняется, и систему можно взломать.

С помощью техники SSRF может быть взломана не только SAP, но и любая другая система управления бизнесом, работающая под управлением J2EE-сервера и использующая технологию XML для передачи данных.

Чтобы обезопасить себя от атак, компаниям необходимо регулярно обновлять свои системы защиты.

Компания ERPScan выпускает одноимённый продукт, представляющий собой сканер уязвимостей систем управления бизнесом.

Что по этому поводу думают специалисты.

Трофимов Константин, генеральный директор Centrobit:

«Как правило, ERP система компании закрыта от доступа из интернет. Поэтому основную опасность представляют сотрудники компании, которые могут получить инсайдерскую информацию. Для предотвращения утечки необходимо правильно настроить политику доступа в ERP.

Если ERP система взаимодействует с внешними веб-системами через интернет, то, например, наши веб-системы не получают доступ к ERP из интернет.

Всё взаимодействие берет на себя сама ERP система. Она и отправляет данные и получает. Если даже хакер получит доступ к веб-системе, то ERP система будет защищена от взлома. Это позволяет защититься от хакерских атак из интернета».