SAP NetWeaver
 

SAP NetWeaver

Продукт
Название базовой системы (платформы): SAP Business Suite
Разработчики: SAP SE
Технологии: СОА

Содержание

SAP NetWeaver - интеграционная и прикладная платформа компании SAP AG, техническая основа комплекса решений «Управление современным предприятием» (SAP Business Suite), композитных приложений SAP xApps, партнерских решений и приложений, разрабатываемых клиентами компании. Она реализует архитектуру сервисов предприятия (Enterprise Services Architecture) – концепцию SAP по построению бизнес-приложений на основе сервисов.

Платформа SAP NetWeaver поддерживает интернет-стандарты, такие как HTTP, XML и Web-сервисы. Тем самым обеспечивается открытость и совместимость со средами Microsoft .NET и Java 2 Platform Enterprise Edition (J2EE), например, IBM WebSphere.

История

2017: Уязвимости SAP NetWeaver

24 апреля 2017 года компания Positive Technologies сообщила о выявлении уязвимостей в технологии SAP NetWeaver 7.31. Пользователям платформы предложено установить обновления безопасности.

Эксперты выявили уязвимости в программных компонентах SAP Enterprise Portal Navigation, SAP NetWeaver Log Viewer и SAP Enterprise Portal Theme Editor, входящих в состав платформы SAP NetWeaver. Недостатки безопасности позволяют атакующим выполнить перехват учетных данных для входа, зарегистрировать нажатия клавиш, подменить данные и выполнять другие нелегитимные действия, вплоть до полной компрометации системы.

В исследовании приняли участие специалисты компании Юрий Алейнов, Егор Димитренко, Роман Понеев и Михаил Ключников. Четыре уязвимости межсайтового выполнения сценариев (Cross-Site Scripting, XSS) обнаружены в компонентах корпоративного веб-портала SAP Enterprise Portal — SAP Enterprise Portal Navigation (оценка 6.1 по шкале CVSSv3) и SAP Enterprise Portal Theme Editor (три бреши с оценками 5.4, 6.1 и 6.1 по шкале CVSSv3).

Эксплуатируя уязвимости злоумышленник может получить доступ к токенам сессии жертвы, учетным данным для входа и другой конфиденциальной информации в браузере, выполнить различные действия от имени пользователя, изменить содержимое HTML-страницы, перехватить нажатия клавиш. Рекомендации по устранению этих недостатков описаны в уведомлениях о безопасности (SAP Security note) под номерами 2369469, 2372183, 2372204 и 2377626.

« Крупнейшие компании мира используют SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимоотношением с поставщиками и клиентами, ресурсами предприятий, поставками и другими критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации играет огромное значение, а нарушение конфиденциальности таких данных может привести к катастрофическим последствиям для бизнеса.

Дмитрий Гуцко, руководитель отдела безопасности бизнес-систем Positive Technologies
»

Уязвимость обхода каталога (Directory Traversal, оценка 5.9 по шкале CVSSv3) — позволяет загрузить произвольные файлы в компоненте SAP NetWeaver Log Viewer. При загрузке некорректно сформированного архива, содержащего файлы со специальными символами в названии, и его последующей распаковке, веб-приложение распознает символы «.» и «/» как часть корректного пути файла, что позволяет злоумышленникам эксплуатировать уязвимость обхода каталога и загружать файлы в любое место файловой системы сервера.

Последствия загрузки произвольных файлов могут повлечь за собой компрометацию системы, чрезмерную нагрузку на файловую систему или базу данных, распространение атаки на серверные системы и подмену данных (defacement). Степень воздействия этой уязвимости высока, поскольку произвольный код может выполняться в контексте сервера. Действия, позволяющие устранить этот недостаток, описаны в уведомлении о безопасности SAP под номером 2370876.

« Все перечисленные уязвимости были закрыты в рамках Security Patch Day в январе 2017 года. Спасибо коллегам за проделанную работу. Она еще раз напоминает владельцам систем о необходимости своевременно обновлять версии программных продуктов, отслеживать публикацию SAP Note по безопасности и устанавливать патчи, описанные в них.

Дмитрий Костров, директор по информационной безопасности в SAP СНГ
»

2016: Уязвимости SAP NetWeaver

20 июня 2016 года свет увидело исследование компании Digital Security, которое выявило многочисленные уязвимости в SAP NetWeaver компании SAP. ПО - техническая основа для всех приложений SAP Business Suite. Продукты на платформе SAP NW используют тысячи компаний в мире, в том числе – в России и СНГ.

Автор работы Ваагн Вардянян, эксперт департамента аудита безопасности SAP в компании Digital Security. Сканирование проводилось по 7348 SAP-серверам, доступным через Интернет. На сервере, где проводилось исследование, установлено около 1400 компонентов (приложений).


Эксплуатация уязвимостей

В ходе анализа безопасности SAP NetWeaver было обнаружено множество уязвимостей, включая уязвимость разглашения информации, SQL injection, ошибку хеширования паролей. Совместное использование этих проблем безопасности в некоторых случаях дает возможность получить сначала логины пользователей, потом зашифрованные пароли, далее, вследствие неправильной реализации хеширования, – завладеть паролем любого пользователя SAP JAVA.

Если злоумышленник обнаружит одну или несколько из перечисленных уязвимостей, последствия могут быть разными. К примеру, используя только багу разглашения логинов пользователей, он может получить логины пользователей и открыть портал по адресу /irj/portal. Далее, если он начнет вводить неправильные пароли к логинам, после 3-5 попыток будут заблокированы все учетные записи, и бизнес-процессы атакуемой компании просто остановятся, пока администраторы не разблокируют их в ручном режиме.

Другой вектор атак может быть связан с SQL injection. Используя эту уязвимость, злоумышленник может отправить 3-10 веб-запросов на сервер SAP NW JAVA и запросить от базы большой объем данных. Далее, БД задействует все ресурсы сервера для удовлетворения запроса атакующего, при этом сервер перестанет отвечать на все легитимные запросы от сотрудников SAP. И перед нами – классическая картина DoS.

Кроме того, злоумышленник может просто получить любые данные, включая критичные, из БД SAP NW JAVA без организации DoS-атаки.

Эксплуатация SQL injection позволит получить хэш пользователей. А если будет задействована и уязвимость, связанная с ошибкой хеширования паролей, представляется возможность «в один клик» завладеть паролем администратора или бухгалтера, похитить денежные средства со счетов компании и перевести их в какой-либо банк, а также получить полную базу пользователей, доступ к персональной информации с возможностью последующей продажи.

Исследование показало, что уязвимости разглашения информации подвержено около 1013 серверов (~14% от общего числа отсканированных серверов, 7348).


Диаграмма доступности портов, (2016)

Красноречиво выглядит статистика доступности сервлета, в котором может содержаться уязвимость SQL injection: 2174 серверов (т.е. ~30% от общего числа отсканированных серверов, 7348).


Диаграмма доступности сервлета, (2016)

Исследователь Digital Security уведомил компанию SAP о найденных уязвимостях, вендор оперативно выпустил патчи и рекомендовал пользователям обновить софт. Некоторым из обнаруженных проблем безопасности был присвоен критичный уровень риска (9.1/10, по классификации SAP).

2010: NetWeaver 7.3

По сообщению представителей SAP, в 2010 году будет выпущена версия платформы — NetWeaver 7.3, для которой обещана значительно улучшенная поддержка Java, в том числе сертификация на соответствие Java EE5, а также расширенная поддержка веб-сервисов, дополненные возможности управления идентификацией и различные усовершенствования в области обеспечения продуктивности работы пользователей, в том числе корпоративные «рабочие пространства».[1]

Как указывают в SAP, в дальнейшем платформа будет задействована в трех ключевых технологических стратегиях компании: в сфере мобильных приложений, облачного ПО и вычислений в оперативной памяти. NetWeaver планируется интегрировать с платформой мобильных приложений, полученной с покупкой Sybase. На основе NetWeaver также разрабатывается проект шлюза Gateway, который позволит осуществлять доступ к данным систем SAP с помощью различных устройств и приложений. Кроме того, к платформе будет присоединен механизм вычислений в оперативной памяти, используемый в анонсированной ранее серии аналитических серверов SAP. В стратегии облачных платформ SAP платформа будет использоваться для обеспечения возможностей управления и разработки.

Отметим, что по мнению некоторых наблюдателей, NetWeaver в последнее время развивается не настолько активно, как конкурентные стеки связующего ПО корпораций Oracle и IBM. В результате появились слухи, что SAP рано или поздно купит крупного производителя связующего ПО наподобие TIBCO или Software AG.

Компоненты и инструменты SAP NetWeaver

Компоненты

Инструменты

Дополнительные решения

  • Архивация и управление документами и данными SAP.

Примечания



ПРОЕКТЫ (12) ПРОЕКТЫ НА БАЗЕ (591) ИНТЕГРАТОРЫ (11)
РЕШЕНИЕ НА БАЗЕ (11) СМ. ТАКЖЕ (9) ОТРАСЛИ (33)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2014 год
2015 год
2016 год
Текущий год

  IBM (7, 49)
  IFS (4, 41)
  Диасофт (Diasoft) (16, 29)
  Неофлекс Консалтинг (Neoflex) (3, 24)
  Oracle (7, 21)
  Другие (79, 89)

  Неофлекс Консалтинг (Neoflex) (1, 9)
  Oracle (3, 5)
  IBM (2, 3)
  EGAR Technology (2, 2)
  Informatica (1, 2)
  Другие (3, 5)

  Неофлекс Консалтинг (Neoflex) (3, 10)
  Axelot (Акселот) (1, 7)
  IBM (3, 6)
  IFS (1, 4)
  ОТР (1, 3)
  Другие (5, 5)

  IBM (1, 5)
  Axelot (Акселот) (1, 5)
  Oracle (3, 4)
  IFS (1, 4)
  Неофлекс Консалтинг (Neoflex) (2, 2)
  Другие (7, 8)

  Диасофт (Diasoft) (2, 2)
  Axelot (Акселот) (1, 2)
  Oracle (1, 1)
  Microsoft (1, 1)
  IBM (1, 1)
  Другие (2, 2)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2014 год
2015 год
2016 год
Текущий год

  IFS Applications - 41 (41, 0)
  Flextera - 28 (27, 1)
  IBM WebSphere - 25 (25, 0)
  Neoflex Adapters - 23 (21, 2)
  Axelot Datareon ESB Сервисная шина данных - 15 (15, 0)
  Другие 116