Критическая уязвимость в сервисе SAP Dispatcher доступна через Интернет

Критическая уязвимость в сервисе SAP Dispatcher доступна через Интернет

8 мая вышел майский набор критических обновлений от компанииSAP. Наэтот раз закрыто целых 11 уязвимостей, обнаруженных стороннимиисследователями.Среди них, по традиции, компания Digital Security, являющаяся ведущим в мире партнером SAP по обнаружению и закрытию уязвимостей, а также ряд других компаний, ранее не занимавшихся поиском уязвимостей в SAP, что говорит о безусловном росте интереса к данной теме. Специалисты исследовательской лаборатории Digital Security обнаружили 4 уязвимости в таких компонентах, как SAP Basis, SAPPortal и SAP BW.

Наиболее критичная из уязвимостей, обнаруженных сотрудниками исследовательской лаборатории Digital Security Research Group – этоотказ в обслуживании при обработке XML-пакетов web-интерфейсомприложения SAP NetWeaver ABAP.  Вообще в майском обновлении превалируют уязвимостиотказа в обслуживании – так, например, компания Core Security выпустила отчет об множественных уязвимостях, обнаруженных в протоколе DIAG. Это основной протокол, используемый в SAP для передачи данныхмежду клиентом и сервером через клиентское приложение SAP GUI.В данномпротоколе недавно уже были выявлены проблемы с небезопасным шифрованием, а точнее, кодированием. Теперь в нем обнаружены и другие уязвимости. Врезультате эксплуатации данных уязвимостей возможенвызов атаки типа"отказ в обслуживании"на сервер приложений SAP NetWeaver, что приведет костановке работы системы до ее перезагрузки.

Помимо отказа в обслуживании, одна из уязвимостей может привести квыполнению произвольного кода на сервере SAP, то есть к получению доступако всем критичным для бизнеса данным и процессам.

В результате  исследований, проведенных компанией Digital Security с целью сбора статистики по наличию SAP-систем в сети Интернет, былообнаружено, что сервис Dispatcher, который обслуживает соединения по протоколу DIAG и должен быть открыт только для доступа внутрикорпоративной сети, у некоторых компаний, тем не менее, доступенудаленно через Интернет в обход SAPRouter.

В ходе выборочного сканирования систем по всему миру было обнаруженопорядка  сотни SAP-систем с  доступным для удаленного подключения портомSAP Dispatcher. Наибольшее количество систем было обнаружено в США(30%), Китае (25%), Германии (10%), Колумбии и Корее. Средиобнаруженных систем найдены также и российские IP-адреса.

По неподтвержденным данным, уязвимость можно реализовать только вслучае включенной трассировки, что  снижает риск. На данный моментвсем компаниям, использующим SAP, рекомендуется установить уровеньтрассировки протокола DIAG в значение 1 или 0 (по умолчанию), а такжеустановить необходимое уведомление безопасности SAPnote 1687910.

ITSec.ru по материалам компании Digital Security