根据安全研究人员,SAP在过去的几年里,SAP在过去几年中有显着提高了其产品的安全性,但许多客户忽略了他们的部署,这让他们在潜在的攻击潜在的攻击,这是安全研究人员的攻击。
最重要的问题是,公司在周二表示,公司不仅向互联网提供了不安全的SAP服务 - 不仅是HTTP服务,而且,煤炭公司的首席技术官Alexander Polyakov,SAP Systems的安全监测产品的开发者亚历山大·莫加科夫亚历山大Polyakov。
Polyakov表示,5%和10%的使用SAP产品将关键服务暴露给不应该公开访问的互联网。他说,这发生了因为他们希望能够启用远程管理或由于配置不当,而且。
Polyakov说,大多数服务都有很容易攻击的漏洞。
具有许多SAP漏洞存在的公共利用存在,包括一些是Metasploit的一部分,这是一个流行的安全测试工具。
具有暴露SAP服务的公司的百分比与国家不同。Polyakov表示,北美和欧洲和欧洲的情况更好,亚太地区,非洲和拉丁美洲更糟糕。然而,即使是5%的翻译成了一家大量公司。
Muan Perez-Ichegoyen是Onapsis,Massachusetts的Cambridge,Massachusetts的Campride,为ERP系统开发安全产品,认为,运行弱势SAP系统的公司数实际上高于Polyakov估计,而且它正在增长。
“更糟糕的是,许多系统都有许多系统接触到漏洞,其公开剥削是已知的五年甚至十年。这些组织的风险是巨大的,”他周三通过电子邮件说。
另一个问题是运行过时的SAP应用程序的大量可公开访问Web服务器。使用Google搜索,erpscan研究人员确定了具有不同SAP Web应用程序的695个独特的服务器,并使用Shodan Search引擎找到额外的3,741台服务器。
SAP NetWeaver J2EE和SAP NetWeaver ABAP是服务器上找到的最常见的SAP应用程序。但是,这两个应用程序的最常见版本是SAP NetWeaver ABAP V7.0 EHP 0和SAP NetWeaver J2EE 7.00版,这两者都在2005年发布。
如果管理员应用所有补丁并随后多年来通过SAP发出的所有安全建议,那么旧版本这些产品的部署不一定易受攻击。
然而,旧版本部署更有可能比新版本更容易受到攻击,因为Polyakov表示,这些产品的较新版本在其默认配置中更安全。
“真正的问题不是系统在2005年发布了系统,因为SAP仍然具有维护的SAP,并释放影响它们的漏洞的安全补丁,”Perez-Ichegoyen说。“真正的威胁是一些公司无法及时应用它们,将自己暴露于网络攻击。”
Polyakov在RSA亚太2013安全大会的演示期间,本月早些时候发布了一些关于暴露的SAP服务的一些数据。然而,有关煤炭党对SAP安全状态的研究的更多信息将在即将到来的几周内被释放,作为一个大型报告的一部分,他说。
根据Polyakov的说法,保护SAP系统非常重要,因为SAP平台安全在安全研究人员之间的兴趣已经越来越大,而且在零日利用买家和卖家之间的兴趣RSA演示文稿幻灯片。
Polyakov表示,对针对SAP系统的潜在攻击可能由不同的动机驱动。
此类攻击可用于窃取经济间谍活动的财务信息,公司秘密,人力资源数据,供应商和客户名单。它们还可用于执行虚假事务并修改欺诈目的数据,或者它们可用于破坏系统或修改破坏的财务报告。
Polyakov表示,妥协SAP服务器以攻击连接到它们的其他类型的系统也是一种可能性。例如,SAP服务器有时连接到SCADA(监控和数据采集)系统,以便从中接收和处理数据。
SCADA系统用于控制和监控基于工业,基础设施和基于设施的过程。
Polyakov表示,妥协SAP系统的人可能很容易地启动拒绝服务的拒绝服务攻击。
Polyakov表示,有人在其中创建一个电脑蠕虫,以攻击SAP系统并在一个特定国家的主要公司中扰乱业务。他说,这种攻击可能会产生重大的经济影响。
“有些公司仍然认为攻击的风险低,因为攻击者需要高技能,”Onpsis的首席执行官Mariano Nunez表示,通过电子邮件。“然而,随着公众利用的可用性和曝光率增加,进入的障碍远远低于感知的组织。”
Nunez在过去两年中指出了积极的变化,领先的组织开始保护他们的SAP系统对抗网络攻击。然而,“不幸的现实是,许多组织仍然认为SAP安全性只是关于角色和档案,并使他们的系统完全暴露在技术漏洞中,”他说。
“我们要感谢Alexander Polyakov,以提高我们对这一重要主题的认识,”SAP发言人希尔马尔Schepp周二通过电子邮件表示。他说,Polyakov一直在使用SAP,并且由于密切合作SAP可以为各种安全问题提供补丁。
“SAP的软件和解决方案满足最高的安全标准,”Schepp表示。他说,该公司正在与执行问题密切合作,并建议他们激活适当的安全配置。