为了说明典型的攻击和体系结构问题,我们将提供SAP ERP解决方案的示例,因为它是在85%的财富2000强公司中安装最广泛的SAP ERP解决方案。
ERP系统和其他业务应用程序配置不安全的风险如下。
1.通过弱势服务的攻击
默认情况下,大多数ERP系统都安装了数十甚至数百个服务。 它们包括典型的以及基于Web的服务。 其中一些负责不同的管理职能。 例如,SAP管理控制台或SAPControl允许对SAP系统进行远程控制。 它的主要功能是远程启动和停止,执行该操作需要知道用户名和密码。
尽管如此,仍有一些功能可以在不进行身份验证的情况下远程使用。 它们中的大多数允许读取不同的日志和跟踪,有时还读取系统参数。
2.内部人员的特权升级
当用户通过客户端应用程序(例如SAP GUI)连接到服务器时,他们可以执行不同的功能。 如果他们想执行某些功能,例如创建付款订单或新用户或填写任何表格,则需要在SAP菜单中输入特定的交易名称。 系统将打开一个对话框窗口,用户可以在其中指定不同的参数。 例如,如果用户执行事务SU01在系统中创建新用户,他们将看到一个屏幕,需要在其中填写有关新用户的所有详细信息,然后单击“创建”按钮。 如果数据正确,将在系统中创建新用户。
但是,通过SAP GUI连接并运行事务不是执行SAP功能的唯一方法。 SAP系统很复杂,可以通过多种方式执行一项操作。 例如,在SAP系统中执行功能的其他方式包括:
- 使用RFC(例如Windows中的RPC)运行后台作业;
- 通过SOAP接口(基于Web的接口)调用相同的功能,以远程运行RFC程序;
- 执行Web dynpro应用程序。 Web Dynpro是SAP System基于Web的前端,如果工作人员没有客户端应用程序而只有Web浏览器,则可以使用Web Dynpro。
如您所见,所有这些方法都需要使用不同的保护方法。
3.恶意开发人员
用ABAP语言(旨在扩展SAP Systems功能的SAP专有语言)编写的程序可能存在漏洞,更重要的是,该语言还可以用于编写后门程序,这些后门程序可以提供恶意功能,例如将每笔交易的详细信息发送到通过电子邮件或什至在Twitter上发布的第三方。
不幸的是,公司内部的发展几乎不受控制。 您可以监视系统中新程序的出现,并有可能找到开发人员,但是除非您读取源代码的每个字符串,否则无法检测出每个新程序到底在做什么。 因此,在不使用其他解决方案的情况下,没人知道开发人员在系统中的确切性能。 根本没有任何控制措施,他们可以开发不安全的代码,错过在程序中添加访问控制检查,将钱存入其银行帐户,除非有人查看源代码,否则没人会发现。 因此,对开发人员的缺乏控制使他们成为SAP的上帝,应该分析他们的行动。
4.不安全的连接
您必须连接不同的应用程序以自动化业务流程。 例如,如果要在SAP系统中自动生成发票并通过银行系统将钱汇到特定的银行帐户,则需要连接ERP和银行系统。 业务应用系统像蜘蛛网一样相互连接。 实际上,存在许多类似的连接,并且所有这些连接在安全性方面都至关重要。 例如,这些连接可以存储用户名和密码。 而且,这些系统不仅在公司网络内部交织在一起,而且还通过Internet与合作伙伴网络交织在一起,或者与银行或保险公司等其他提供商交织在一起。 一些系统通过特定的SAP系统直接连接到ICS / SCADA网络,例如SAP xMII(制造集成和智能)或SAP PCo(SAP工厂连接)。
从技术上讲,此过程由RFC(远程功能调用)和SAP系统之间的其他连接(通常存储用于访问卫星系统的凭据)管理。 SAP开发了RFC连接,以在两个SAP系统之间传输数据。 ERPScan的研究表明,典型SAP系统中的平均连接数约为50,其中30%通常存储凭据。 一旦攻击者闯入了最弱的SAP模块,他们就可以轻松地访问相互连接的系统,从它们到其他系统。 因此,审查SAP系统之间的各种连接非常重要。 例如,有可能使用石油和天然气公司的OT基础架构,并利用一系列漏洞和利用SAP漏洞为系统的系统之间的连接来窃取石油。
在下一篇文章中,我们将重点介绍对ERP系统的保护。