Приложения SAP – потенциальная точка входа в сеть

Хакеры могут атаковать нефтегазовые компании и представителей других критически важных отраслей, используя в качестве вектора корпоративные приложения вроде тех, что поставляет SAP 18 Ноябрь 2015, 13:06
Следуя примеру взломщиков Target, которые проникли в сеть ритейлера через систему управления теплохладотехникой, хакеры могут атаковать нефтегазовые компании и представителей других критически важных отраслей, используя в качестве вектора корпоративные приложения вроде тех, что поставляет SAP.

На недавней конференции Black Hat Europe исследователи из ERPScan раскрыли тревожно большое число уязвимостей в бизнес-ПО производства SAP. Атакующие смогут их использовать для вмешательства в рабочие процессы с целью дестабилизации производственных циклов, диверсии, мошенничества, нарушения безопасности и т.д.
Уязвимости и ошибки конфигурации были найдены в системе xMII (Manufacturing, Integration and Intelligence), решении по обмену данными SAP Plant Connectivity, СУБД SAP HANA, расширении SAP Oil & Gas для бизнес-пакета ERP и в других широкоиспользуемых приложениях.

«Все эти решения предназначены для подключения к конкретным системам автоматизированного управления производственными процессами, — комментирует Александр Поляков, технический директор ERPScan. — Такие соединения можно найти практически во всех компаниях. Это общепринятая практика, особенно в передовых компаниях, стремящихся автоматизировать процессы, чтобы держать руководство в курсе происходящего в рамках АСУ ТП».

По оценке ERPScan, SAP-приложения используют 85% нефте- и газопромышленников из списка Fortune 2000. Большинство этих программ — специализированные разработки для управления процессами, свойственными данной отрасли. Так, например, SAP xMII собирает данные процессов и передает их на OPC-серверы, связанные с программируемыми контроллерами и другими важными устройствами управления технологическими процессами. Со слов Полякова, большинство обнаруженных ERPScan уязвимостей позволяют удаленно проникнуть в целевую систему; самая опасная из них — возможность внедрения SQL-кода, присутствующая в движке J2EE системы xMII.

«Однако уязвимости — не единственная проблема, — продолжает эксперт. — Неправильные настройки, такие как возможность входа по сохраненным логинам и паролям, тоже являются серьезным недочетом. Небезопасное соединение систем, возможно, даже более критично, чем уязвимости».

По свидетельству Полякова, бреши в xMII, SAP Plant Connectivity и SAP HANA уже устранены. Уязвимость в шлюзе Matrikon OPC, соединяющем программируемые контроллеры и SCADA-системы, была приватно раскрыта, однако еще не пропатчена.

SQLi-бреши в xMII была присвоена самая высокая степень риска, так как ее эксплойт — единственный способ атаки на операционную сеть. «Атакующему придется извлечь данные о соединениях со всеми системами и использовать их для подключения к целевой системе (например, к SAP Plant Connectivity), — пояснил Поляков. — Иногда для соединения с целевой системой требуется доступ уровня ОС на первой системе-жертве (SAP xMII), так как целевая система находится в [операционной] сети за сетевым экраном. Единственный способ атаки в таком случае — через взлом xMII, получение доступа к ОС и загрузку бэкдора». Если конфигурация позволяет, можно атаковать целевую систему удаленно — посредством взлома доступного из Интернета SAP Portal или роутера с последующим подключением к xMII.