网络安全咨询
针对不安全SAP系统的新漏洞利用
最后修订时间 2019年5月3日 警报代码 AA19-122A
摘要
网络安全和基础设施安全局(CISA)发布此活动警报,以应对近期披露的针对SAP组件不安全配置的漏洞利用。[1(外部链接)]
技术细节
在2019年4月的“社区发展与赋能行动”(OPCDE)网络安全会议上,一份报告描述了配置不安全且暴露在互联网上的SAP系统。通常,SAP系统不应暴露在互联网上,因为互联网是不可信的网络。恶意网络攻击者可以使用公开的漏洞利用工具(称为“10KBLAZE”)攻击并控制这些不安全的系统。该报告详细介绍了新的漏洞利用工具,并报告了暴露在互联网上的系统。
SAP网关ACL
SAP网关允许非SAP应用程序与SAP应用程序通信。如果SAP网关访问控制列表(ACL)配置不当(例如,gw/acl_mode = 0),匿名用户可以运行操作系统(OS)命令。[2] 根据OPCDE报告,大约有900个美国的面向互联网的系统被检测到处于这种易受攻击的状态。
SAP路由器secinfo
SAP路由器是一个帮助SAP系统与外部网络连接的程序。SAP网关的默认secinfo配置允许任何内部主机匿名运行操作系统命令。如果攻击者能够访问配置不当的SAP路由器,该路由器可以充当内部主机并代理攻击者的请求,这可能导致远程代码执行。 根据OPCDE报告,有1,181个SAP路由器暴露在互联网上。目前尚不清楚这些暴露的系统是否被确认存在漏洞,或者仅仅是运行了SAP路由器服务。
SAP消息服务器
SAP消息服务器充当应用程序服务器(AS)之间的代理。默认情况下,消息服务器监听39XX端口且没有身份验证。如果攻击者能够访问消息服务器,他们可以重定向和/或执行合法的中间人(MITM)请求,从而获取凭据。这些凭据可用于在AS服务器上执行代码或操作(假设攻击者能够访问到它们)。根据OPCDE报告,美国有693个消息服务器暴露在互联网上。所有版本中,消息服务器ACL必须由客户进行保护。
签名
CISA与Onapsis Inc.的安全研究人员合作[3(外部链接)],开发了以下Snort签名,可用于检测这些漏洞利用:
|
|
缓解措施
CISA建议SAP系统管理员实施以下措施,以缓解OPCDE报告中包含的漏洞:
-
确保SAP环境的安全配置。
- 限制对SAP消息服务器的访问。
- 查看SAP说明1408081和821875。通过网关(
gw/acl_mode和secinfo)和消息服务器(ms/acl_info)上的ACL文件限制授权主机。[4], [5] - 查看SAP说明1421005。拆分MS内部/公共:
rdisp/msserv=0 rdisp/msserv_internal=39NN。[6] - 将消息服务器内部端口(tcp/39NN)的访问限制在客户端或互联网。
- 为客户端启用安全网络通信(SNC)。
-
扫描暴露的SAP组件。
- 确保SAP组件未暴露在互联网上。
- 移除或保护任何暴露的SAP组件。
参考资料
[1] Comae Technologies: 社区发展与赋能行动(OPCDE)网络安全会议材料(外部链接) [2] SAP:网关访问控制列表 [3] Onapsis Inc. 网站(外部链接) [4] SAP说明1408081 [5] SAP说明821875 [6] SAP说明1421005
修订记录
- 2019年5月2日:初始版本