安全服務業者Onapsis發現一項攸關資料外洩的SAP 系統設定,即使SAP 13年前已經發出警告,但至今仍有九成用戶仍然未解決。

本問題並非SAP產品的安全漏洞,而是一項系統設定,存在於SAP底層的NetWeaver中的SAP Message Server中。它的角色是支援SAP基礎架構軟體如SAP Application Server、SAP Central Instance交易流量尖峰時的通訊及負載平衡,當IT開發出新app時也需經由Message Server註冊。Message Server的安全把關功能是它支援存取控制表 (access control list,ACL),決定誰可存取port 3900以註冊服務。

問題在於由於各家企業網路環境不同,SAP NetWeaver Message Server軟體ACL出貨時預設為關閉,以利系統安裝設定。然而關閉ACL意謂著所有人都可以存取port 3900註冊app,包括外部攻擊者。

早在2005年,SAP就已發出安全公告(僅SAP用戶有存取權限),呼籲用戶開啟ACL的設定,以降低被非法存取的風險。之後又在2009 、2010年分別發佈警告。

不過在Onapsis去年度針對數百家SAP用戶系統環境所做的調查,大約有90%的企業仍然未變更Message Server的預設,致使系統門戶洞開。結果可能包括遠端非授權攻擊者或是內部員工開發惡意App後註冊成SAP基礎架構的服務,藉此存取ERP或S/4HANA等應用系統,達到竊取、竄改資料或把系統整個破壞的目的。所有版本SAP Netweaver都受該問題影響。

安全廠商也呼籲SAP用戶應儘速檢視系統,自行或在外部服務商協助下將問題解決。

熱門新聞

Advertisement