引言

Mitre Corp 于近期公布了一个存在于SAP NetWeaver AS Java的高危漏洞, 从SAP NetWeaver AS JAVA(LM Configuration Wizard)7.30 至 7.50 版本中具有涉及,潜在的受影响系统包括SAP ERP、CRM、SCM等一系列解决方案,漏洞编号为 CVE-2020-6287,CVSS 评分 10 分;该严重漏洞导致未经身份验证的远程攻击者可以通过创建具有最大特权的新 SAP 用户,绕过所有访问和授权控制,从而完全控制 SAP 系统,还可以更改SAP系统内用户的详细信息(帐号,IBAN等)和读取个人身份信息(PII)等。

 **关键字: SAP 系统安全、 SAP 用户日志、 SAP 系统监控、  SAP 堡垒机、SAP 审计日志、 SAP 用户行为日志、SAP 业务审计数据**

一、背景

Mitre Corp 于近期公布了一个存在于SAP NetWeaver AS Java的高危漏洞, 从SAP NetWeaver AS JAVA(LM Configuration Wizard)7.30 至 7.50 版本中具有涉及,潜在的受影响系统包括SAP ERP、CRM、SCM等一系列解决方案,漏洞编号为 CVE-2020-6287,CVSS 评分 10 分;该严重漏洞导致未经身份验证的远程攻击者可以通过创建具有最大特权的新 SAP 用户,绕过所有访问和授权控制,从而完全控制 SAP 系统,还可以更改SAP系统内用户的详细信息(帐号,IBAN等)和读取个人身份信息(PII)等。 详见 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287

基于FOFA-网络空间安全搜索引擎获取的最新数据(一年内数据),查询结果显示中国范围内满足 server=”SAP NetWeaver Application Server” && server=”as java” 条件的系统共有 1402 个相关服务对外开放,位居世界第二位;排名前五的地区,北京使用数量最多有 127 个,江苏、浙江共有 83 个,广东共有 70 个,上海共有61 个,山东共有 25 个。上述开放服务的SAP应用系统可能存在风险,建议将 SAP 对应产品升级至安全版本。详见 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675。

二、现状

SAP系统的复杂性和常见的安全故障使许多企业的应用暴露在不可避免的风险中,常见的配置错误和其他错误(其中许多是多年来众所周知的)不断破坏企业SAP环境的安全性。典型的SAP环境由许多自定义代码和定制组件组成,一方面这些组件相互通信,并通过各种API和接口与外部系统进行通信,新的代码和协议与与传统环境相互作用,并继承它们的安全漏洞和缺陷;另一方面,SAP系统需要开发人员不断地对参数文件和系统配置进行更改,以适应新的业务流程,但系统管理员很少了解潜在的安全隐患,这些环境的复杂性使系统充满了安全漏洞。

绝大多数的SAP应用作为企业的核心业务系统,高可用是重点保障目标。管理员常常犹豫不决或不愿意做任何可能破坏可用性的事情,结果就是“SAP系统安全补丁和更新——即使是针对最关键的漏洞”往往很少被快速应用,有时甚至根本不应用。在SAP环境中应用补丁意味着通过DEV、QAS、预生产以及所有其他多个层次来测试并判断其对生产环境的影响,管理员为确保补丁不会破坏现有系统状态或业务流程,通常会导致所需的补丁即使在首次可用后数年也未实施。由于缺乏时效性信息,许多企业很难在现场SAP系统上识别和实现所需的补丁。我们建议,作为SAP系统管理员需要 定期关注SAP漏洞公开站点和数据库,并在SAP One Support Launchpad上订阅资源,以便定期更新补丁信息,做到有备无患。

三、PowerSAP工具介绍

PowerSAP是一款开源的SAP系统漏洞安全审计工具,使用.Net connector ‘NCo’基于RFC的方式连接SAP系统,可重用Bizploit、Metasploit 等框架,支持Python脚本程序。根据该工具作者Sn0rkY的描述,PowerSAP 类似于Metasploit,这款SAP审计工具也是多个PowerShell脚本的集合。

项目Github页面地址 https://github.com/airbus-seclab/powersap PowerSAP的主要功能如下(ps1为工具预制脚本文件):

Invoke-mgmt-con-soap.ps1:通过SAP管理控制台SOAP接口恢复信息和设置。

Invoke-READTABLE-via-GEN_PROXY.ps1:通过GEN_PROXY远程功能模块调用REB_NATSQL_SELECT本地功能模块来读取SAP系统的URS02表。

Invoke-RFC_PING.ps1:调用功能模块RFC_PING以及相关内置功能来对SAP系统进行Ping测试。

Invoke-RFC_SYSTEM_INFO.ps1:调用功能模块RFC_SYSTEM_INFO,并获取包括内核信息、SAP系统状态以及系统ID等数据。

Invoke-RFC_bruteforce.ps1:利用凭证信息(例如DDIC、IDEADM、EARLYWATCH和SAPCPIC)调用RFC_PING功能模块,并对SAP RFC协议执行暴力破解攻击。

Invoke-SXPG_CALL_SYSTEM.ps1:调用SAP系统的SXPG_CALL_SYSTEM远程功能模块,并执行操作系统命令,但目前PowerSAP仅支持少数预定义的SM49命令。

Invoke-SXPG_STEP_XPG_START.ps1:调用SAP系统的SXPG_STEP_XPG_START远程功能模块,并执行操作系统命令,目前PowerSAP仅支持whoami命令。

PowerSAP的安装方法比较简单,下载 SAP .NCo(SAP Connectorfor Microsoft .NET) https://websmp201.sap-ag.de/public/connectors 和 PowerSAP https://github.com/airbus-seclab/powersap/archive/master.zip 即可,并将 sapnco.dll&sapnco_utils.dll 拷贝到相应的 NCo_x86/NCo_x64 目录,然后在 …\PowerSAP\Standalone 路径下执行 PS1 脚本(例如,执行Get-NCoVersion.ps1 返回NCo版本 NCoVersion: 3.0.13.0 Patch Level: 525 SAP Release: 720)。 SAP业务系统的安全对于企业的重要性不仅仅是在IT层面,财务团队希望确保其系统和日期的完整性,合规与审计对如何确保持续遵守内部控制、PCI、SOX有兴趣,运营部门希望确保业务连续性,IT安全和网络安全希望防止数据泄……

关于赛锐信息

作为SAP的资深合作伙伴,赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司,致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。

赛锐信息:SAP安全漏洞审计及工具介绍相关推荐

  1. SAP License:赛锐信息访谈启示录(三)

    主持人:入行做SAP顾问多久? 李老师:从2005年到2015年,从对SAP一无所知到终于懂了一点皮毛,整整在SAP咨询服务圈里摸爬滚打了近十个年头,这十年虽然也经历了经济危机时期各种类型的咨询公司的 ...

  2. 赛锐信息:集团化公司SAP权限管控解决方案

    引言 经验表明,常见的集团化公司企业SAP系统刚上线时,系统的权限管理往往未引起重视,企业关注更多的是系统能否顺畅运行.数据是否准确,此时为了确保系统迅速转起来,给很多用户的权限往往是放大的. 关键字 ...

  3. 赛锐信息:基于SAP ERP系统的企业内部审计介绍

    引言 企业内部审计是建立于组织内部.服务于管理部门的一种独立的检查.监督和评价活动,它主要用于对企业会计及相关信息的真实.合法.完整,对资产的安全.完整,对企业自身经营业绩.经营合规性进行检查.监督和 ...

  4. 赛锐信息:SAP系统业务审计介绍

    引言 SAP系统是基于业务事件驱动的一套成熟的ERP系统.常见的ERP系统审计工作都是集中于财务数据本身,而SAP ERP系统则涉及系统的设计和流程. 关键字: SAP 安全.SAP 日志.SAP 监 ...

  5. 赛锐信息:SAP ABAP 屏幕导航

    为了理解SAP ABAP,您需要具有登录,ABAP编辑器,注销等屏幕的基本知识. 本章重点介绍屏幕导航和标准工具栏功能. 登录屏幕 登录到SAP服务器后,SAP登录屏幕将提示输入用户ID和密码. 您需 ...

  6. Linux安全漏洞审计工具Lynis

    Linux安全漏洞审计工具Lynis Lynis是针对类Unix系统的审计工具,它支持Unix.Linux.FreeBSD.Mac OS多种操作系统.它能对系统实施大于400种测试,以发现39个方面的 ...

  7. 赛锐信息:SAP img 文档

    IMG-ImplementationGuide(IMG)是SAP系统的配置工具,它可按你公司的要求配置SAP系统以适合你公司的要求.有三种类型的IMG,分别是: 1.SAP参考IMG,可在这里配置SA ...

  8. 赛锐信息:SAP ABAP 环境

    报告是熟悉一般ABAP原则和工具的良好起点. ABAP报告用于许多领域. 在本章中,我们将看到写一个简单的ABAP报告是多么容易. 你好ABAP 让我们开始使用常见的"Hello World ...

  9. 赛锐信息:SAP ABAP 概述

    ABAP代表高级业务应用程序编程,4GL(第4代)语言. 目前,它与Java一起被定位为SAP应用服务器编程的主要语言. 让我们从SAP系统的高级架构开始. 典型SAP系统的3层客户端/服务器体系结构 ...

最新文章

  1. Java 线程 知识
  2. spark-scheduled调度算法
  3. 复习计算机网络基础 day5--物理层
  4. Asp.Net_Mvc_IgnoreRoute
  5. 【数学和算法】初识卡尔曼滤波器(二)
  6. 3 vue 线条箭头_教程|PPT绘制箭头最全攻略,收藏一下!
  7. 游戏编程入门(1) -- 精灵 ISprite
  8. App.vue文件報錯
  9. MATLAB常用算法与应用实例分享来袭!
  10. ICCV 2021 best paper-Swin Transformer:对各类SOTA的降维打击!
  11. android刷机教程 华为,华为手机刷机教程(华为手机强制刷机步骤图文教程)
  12. 3、在hilens_kit安装ros后,运行小车导航
  13. light动名词_英语语法大全之动名词
  14. 一个理解同步异步阻塞非阻塞非常好的解释
  15. 学生专用计算机怎样开启关机,win7电脑怎么用命令设置自动关机
  16. 大学学计算机需不需要提前预习,大学怎么预习啊?
  17. 阿蒙森 斯科特_三个斯科特的故事值得一听...
  18. Python 爬金十数据
  19. Hbuilderx是html5,HBuilderX代码提示系统说明
  20. 吉首大学校赛B——干物妹小埋(线段树求最大递增子序列)

热门文章

  1. linux登录用户目录,linux命令
  2. 荣耀x10max能不能升级为鸿蒙,荣耀X10 Max即将亮相:容量很“放肆” 身材却很“克制”...
  3. reprint函数的用法c语言,百篇大计敬本年之C语言巅峰之道《五》—— snprintf 是否需要 memset 缓冲区...
  4. catia知识工程_【开团】CATIA超全直播课程&实例讲解!
  5. linux服务器禁ip策略,Linux服务器自动封禁访问异常的IP脚本(一)
  6. java求最小生成树的权重_给定有权无向图的邻接矩阵如下,求其最小生成树的总权重,代码。...
  7. mysql 冗余字段_18.3.3 增加冗余字段
  8. [python]数字编程练习
  9. CF719E. Sasha and Array [线段树维护矩阵]
  10. Android开发者指南(25) —— Resource Types - Style