13-летний баг все еще актуален для клиентуры SAP

Эксперты американской компании Onapsis, специализирующейся на обеспечении и аудите безопасности бизнес-приложений, вновь напоминают о рисках, связанных с использованием интеграционной платформы SAP NetWeaver в дефолтной конфигурации.

Новейшая проверка показала, что 90% потребителей популярных ERP-решений SAP до сих пор не активировали заложенную в NetWeaver защиту — списки ACL (контроля доступа), или пользуются сбитыми настройками. Onapsis предупреждает, что это грозит утечкой критически важной информации и злонамеренным вмешательством в рабочие процессы.

Технология NetWeaver, облегчающая развертывание и исполнение бизнес-приложений SAP, является непременной основой всех программных продуктов этой компании. Проблема, задокументированная вендором еще в 2005 году, заключается в том, что ACL-списки, поддерживаемые всеми элементами инфраструктуры SAP, по умолчанию отключены. Это сделано умышленно, так как все предприятия различны и дефолтная активация ACL могла бы сильно затруднить клиентам установку первоначальных бизнес-приложений.

Как отметил репортер Bleeping Computer, с помощью настроек ACL можно регулировать взаимодействие основных элементов инфраструктуры SAP: Application Server (то есть бизнес-приложений), Message Server (посредников, помогающих распределять нагрузку в часы пик) и Central Instance (хранилища данных организации). Новые приложения админы регистрируют на сервере сообщений; по умолчанию этот процесс происходит на внутреннем порту 3900, доступ к которому ограничивается по IP-адресам с помощью списков ACL.

О необходимости смены дефолтного параметра в настройках серверов сообщений SAP предупредила клиентов 13 лет назад, а затем еще дважды призывала их правильно конфигурировать ACL, публикуя подробные инструкции.

«Тем не менее, этот параметр [ms/acl_info] остался заданным по умолчанию, а доступ к содержимому ACL — открытым, что позволяет любому хосту с сетевым доступом к SAP Message Server зарегистрировать Application Server в инфраструктуре SAP», — констатирует Onapsis. По словам специалистов, подобная атака с помощью вредоносного приложения позволяет полностью скомпрометировать систему на базе SAP Netweaver, модифицировать и извлекать внутреннюю информацию или вовсе остановить все рабочие процессы.

Данная уязвимость, давно пропатченная, актуальна для всех версий Netweaver и затрагивает все продукты, использующие эту технологию, в том числе новейшие ERP-решения SAP, такие как S/4HANA.