На BlackHat рассказали о новой целевой атаке на системы SAP

Согласно совместному пресс-резу компаний Digital Security и SAP, оказавшемуся в распоряжении редакции SecurityLab, в ходе конференции по информационной безопасности BlackHat эксперты по информационной безопасности из Digital Security продемонстрировали метод проведения целевой атаки на системы SAP.

В рамках своего выступления исследователи рассказали о сложной многоуровневой атаке на SAP-систему, где используются многочисленные эксплойты, включая уязвимость нулевого дня под названием XML Tunneling – один из подвидов атаки класса SSRF (Server Side Request Forgery, подделка ответа сервера).

«Сейчас очень много говорят о критической инфраструктуре и о вирусах для кибершпионажа. При этом слишком мало информации о бизнес-системах и в частности о возможностях для корпоративного шпионажа и мошенничества, которые открываются при атаке на ERP-системы, такие как SAP. Поскольку в ERP-системе обыкновенно хранится вся критичная для бизнеса информация, конкурент может прибегнуть к промышленному шпионажу и, например, взломать финансовый модуль, где можно найти финансовые отчеты до публикации на бирже», - пояснил технический директор Digital Security Александр Поляков.

По его словам, корпоративные войны более чем вероятны, и некоторые крупные компании могут стать жертвами подобного вредоносного ПО. Не менее вероятны и атаки, нарушающие доступность критичной информации, такие как DoS-атаки.

Отметим, что атака, продемонстрированная экспертами на BlackHat, представляет собой последовательную эксплуатацию следующих уязвимостей:

· Неавторизованный доступ к веб-сервису модуля SAP PI, позволяющему отправлять XML-пакеты. Сам SAP PI, как правило, доступен через Интернет.

· XML Tunneling – новая техника, позволяющая отправлять любые TCP-пакеты во внутреннюю системы из сети Интернет, пряча их внутри XML-пакетов.

· Переполнение буфера в SAP Kernel.

Представители Digital Security и SAP также отметили, что вся атака, таким образом, представляет собой один XML-пакет, который практически не распознается IDS-системами как вредоносное ПО.

«SAP долгое время тесно сотрудничала с компанией-докладчиком, чтобы обеспечить своим клиентам безопасность, и благодаря этому заранее выяснила технические подробности продемонстрированной атаки. Данная презентация посвящена возможному сценарию атаки, эксплуатирующему уязвимости в обработке XML. Такие уязвимости характерны для многих разработчиков ПО, не только для SAP», – следует из уведомления на представителей SAP AG.

В результате совместной работы с исследователями компании удалось исправить уязвимость раньше, чем она была обнародована. Обновления безопасности были выпушены еще в июне (SAP Security Note 1707494). Кроме того, были разработаны дополнительные механизмы защиты (SAP Security Note 1723641 и 1721309).