信息來源:國家互聯(lián)網(wǎng)應(yīng)急中心
近期,國家信息安全漏洞共享平臺(CNVD)收錄了SAP云商務(wù)平臺HANA系統(tǒng)存在多個漏洞中的兩個關(guān)鍵漏洞:HANA自助服務(wù)身份認證漏洞與會話固定(Session Fixation)漏洞(CNVD-2017-02799��、CNVD-2017-02802)��。利用這些漏洞�,外部或內(nèi)部攻擊者未經(jīng)任何身份認證就能夠冒用其他用戶甚至是高權(quán)限用戶身份,遠程控制SAP HANA平臺����,使得平臺上承載的企業(yè)和組織信息和業(yè)務(wù)安全可能面臨嚴重威脅。
一��、漏洞情況分析
SAP是總部位于德國沃爾多夫市的全球最大的企業(yè)管理和協(xié)同化電子商務(wù)解決方案供應(yīng)商��。HANA(High-Performance Analytic Appliance)是一個軟硬件結(jié)合體的內(nèi)存數(shù)據(jù)庫��,大量應(yīng)用于實時業(yè)務(wù)數(shù)據(jù)的查詢和分析���。根據(jù)國外安全公司 Onapsis Research Labs 的報告��,其發(fā)現(xiàn)SAP云商務(wù)平臺 HANA 中存在27個漏洞�����,其中有兩個關(guān)鍵漏洞:
(一)SAP HANA自助服務(wù)工具身份認證漏洞����。該工具允許用戶激活一些額外的功能,如修改密碼���、密碼重置�����、用戶自注冊等功能�����,但卻存在身份認證漏洞��,攻擊者不需要經(jīng)過任何驗證�,可利用漏洞通過HANA的用戶自助服務(wù)元件入侵整個系統(tǒng)�。
(二)SAPHANA自助服務(wù)存在會話固定漏洞(Session Fixation)。外部或內(nèi)部攻擊者未經(jīng)任何身份認證就能夠使用其他用戶甚至是高權(quán)限用戶會話權(quán)限���,在不需要用戶名和密碼的情況下修改����、竊取或刪除敏感資料�。
CNVD對上述漏洞的技術(shù)評級為“高危”��。
二�����、漏洞影響范圍
漏洞影響SAP HANA2及以往舊版本���,包括SAP HANA SPS09等����。根據(jù)CNVD秘書處普查結(jié)果����,互聯(lián)網(wǎng)上共有約2.4萬臺標記為SAP HANA云商務(wù)平臺的主機IP,其中排名前五的國家和地區(qū)分別是美國(占比35.7%)�、韓國(10.8%)、德國(10.1%)����、中國大陸地區(qū)(6.9%)以及印度(3.0%)���。
三、漏洞修復(fù)建議
CNVD提醒用戶及時的更新系統(tǒng)到官方最新版本�����。運行老舊的系統(tǒng)或不當(dāng)?shù)呐渲枚紩绊?SAP HANA業(yè)務(wù)系統(tǒng)的安全性���,增加數(shù)據(jù)丟失的風(fēng)險��。也可以通過以下臨時解決方案:禁用用戶自助服務(wù),或添加網(wǎng)絡(luò)邊界設(shè)備訪問控制措施����。
詳細漏洞信息可參考SAP HANA自助服務(wù)漏洞專用網(wǎng)站:https://www.onapsis.com/threat-report-understanding-sap-hana-user-self-service-vulnerability
附:參考鏈接:
https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02799
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02802
