Проблема, связанная с заводскими настройками SAP, известна еще с 2005 года.
Предприятиям, использующим системы от немецкой компании SAP, рекомендуется изменить настройки своих серверов, поскольку установленные по умолчанию настройки позволяют злоумышленникам получать доступ к корпоративным данным.
Уязвимость связана с заводской конфигурацией программного решения SAP NetWeaver, которую на большинстве предприятий оставляют без изменений. SAP NetWeaver представляет собой связующее программное решение, являющееся основой для других программ, включая такие популярные продукты, как SAP ERP, S/4 HANA и пр.
Проблема затрагивает конфигурацию, отвечающую за передачу данных между различными компонентами инфраструктуры SAP, а именно, между Application Server (бизнес-приложениями), SAP Message Server и SAP Central Instance, где хранятся данные предприятия.
SAP Message Server играет роль посредника и выполняет балансировку нагрузки на SAP-инфраструктуру предприятия во время пиковой активности. Когда создается новое приложение, системный администратор должен зарегистрировать его (Application Server) через SAP Message Server. Процесс регистрации проходит через порт 3900.
В SAP Message Server реализована поддержка Access Control List (ACL), однако по умолчанию она отключена и системные администраторы должны сами ее активировать. Дело в том, что все предприятия разные, и будь поддержка ACL включена по умолчанию, у многих из них могли бы возникнуть проблемы с первоначальной настройкой бизнес-приложений.
Проблема с заводской конфигурацией SAP известна еще с 2005 года. В то время производитель выпустил уведомление безопасности и рекомендовал компаниям не оставлять настройки по умолчанию и как можно скорее настроить ACL, а также разрешить доступ к порту 3900 только с доверенных адресов.
В 2009 и в 2010 годах производитель выпустил еще два уведомления безопасности с дальнейшими инструкциями. Также были обнародованы исследования, проливающие свет на возможные последствия, которыми чревато использование SAP без ACL. Тем не менее, по данным ИБ-компании Onapsis, 90% ее клиентов, которым компания проводила аудиторскую проверку безопасности SAP, не меняли заводские настройки и не включали ACL.
По словам экспертов, злоумышленник со стороны или даже сотрудник предприятия может создать вредоносное приложение, зарегистрировать его в корпоративной SAP-инфраструктуре и с его помощью похищать или изменять корпоративные данные.
Access Control List – список управления доступом, определяющий, кто или что может получать доступ к объекту (программе, процессу или файлу), и какие именно операции разрешено или запрещено выполнять субъекту (пользователю, группе пользователей).Спойлер: она начинается с подписки на наш канал