SAP NetWeaver

Продукт
Название базовой системы (платформы): SAP Business Suite
Разработчики: SAP SE
Дата последнего релиза: 2018/10/05
Технологии: СОА

Содержание

SAP NetWeaver - интеграционная и прикладная платформа компании SAP AG, техническая основа комплекса решений «Управление современным предприятием» (SAP Business Suite), композитных приложений SAP xApps, партнерских решений и приложений, разрабатываемых клиентами компании. Она реализует архитектуру сервисов предприятия (Enterprise Services Architecture) – концепцию SAP по построению бизнес-приложений на основе сервисов.

Платформа SAP NetWeaver поддерживает интернет-стандарты, такие как HTTP, XML и Web-сервисы. Тем самым обеспечивается открытость и совместимость со средами Microsoft .NET и Java 2 Platform Enterprise Edition (J2EE), например, IBM WebSphere.

История

2018: Уязвимости SAP NetWeaver

5 октября 2018 года компания Positive Technologies сообщила о том, что специалисты компании обнаружили и помогли закрыть уязвимости в продуктах SAP для корпоративного хранения данных и автоматизации бизнес-процессов.

Ошибки позволяют похищать пароли и идентификаторы сессий пользователей, атаковать внутренние сервисы, выполнять вредоносные действия в приложении от имени атакуемого. Первые две уязвимости относятся к типу XSS (межсайтовое выполнение сценариев). Более опасная из них (CVE-2017-16685) выявлена в компоненте хранилища данных SAP Business Warehouse Universal Data Integration, она получила оценку 6,9 балла и присутствует в версиях 7.50 и ниже. Вторая уязвимость найдена в SAP NetWeaver Development Infrastructure Cockpit, получила оценку 5,4 и описана в уведомлении о безопасности (SAP Security Note) под номером 2444673.

«
«Обе уязвимости вызваны отсутствием должной фильтрации значений параметров пользовательского запроса к серверу, которое позволяет атакующему выполнить произвольный код JavaScript в браузере пользователя. Злоумышленнику достаточно отправить своей жертве специально сформированную ссылку (как в случае CVE-2017-16685) или, обладая правами авторизованного пользователя, добавить вредоносный код на страницу приложения (Security Note 2444673). Это может привести к хищению идентификатора сессии пользователя или выполнению любого действия в приложении от имени атакуемого».
»

Также специалисты Positive Technologies обнаружили уязвимость CVE-2017-16678 (6,6 балла) в SAP NetWeaver Knowledge Management Configuration Service — приложении SAP, отвечающем за конфигурацию системы. Уязвимость класса Server-Side Request Forgery (SSRF) позволяет авторизованному в приложении злоумышленнику атаковать различные сервисы, находящиеся во внешних или внутренних сетях, вынуждая сервер, на котором находится уязвимое приложение SAP, отправлять произвольные вредоносные HTTP-запросы на соответствующие узлы сети. Эксплуатация уязвимости возможна и от лица легитимного пользователя, если тот, будучи авторизованным в приложении, зайдет на подконтрольную злоумышленнику страницу — в данном сценарии может дополнительно использоваться подделка межсайтового запроса (Cross Site Request Forgery). Ошибки обнаружены в компонентах EPBC и EPBC2 в версиях с 7.00 по 7.02, а также KMC-BC версий 7.30, 7.31, 7.40 и 7.50.

Помимо этого, в приложении SAP NetWeaver System Landscape Directory, которое служит для хранения данных об аппаратных и программных компонентах, была выявлена уязвимость раскрытия информации (описана в Security Note под номером 2527770, оценка 4,3). Она позволяет атакующему с помощью сканирования портов получить информацию о внутренней сети, в которой находится сервер.

Позднее компания SAP также устранила уязвимости CVE-2018-2401 и CVE-2018-2366, найденные экспертами Positive Technologies в SAP Business Process Automation (BPA) By Redwood — платформе, предназначенной для автоматизации бизнес-процессов предприятия.

Дефект CVE-2018-2401 (оценка 5,4 балла) обнаружен в версии 9.0 в SAP BPA. Он позволяет авторизованному в системе пользователю читать любые файлы сервера, используя недостаток обработки XML-документов пользователя, что приводит к атаке внедрения внешних сущностей (XML External Entity). Для эксплуатации уязвимости злоумышленник может передать на сервер специально сформированный XML-документ, что спровоцирует ошибку, в тексте которой будет находиться содержание файла сервера. Вторая уязвимость в SAP BPA относится к типу «Обход каталога» (Directory Traversal, CVE-2018-2366), она получила оценку 4,3 балла. Ей подвержены версии 9.0 и 9.1. Причиной возникновения этого недостатка послужил неверный парсинг строки запроса на стороне сервера, что позволяет читать локальные файлы сервера, включая системные. Чтение файлов может привести к перехвату чувствительных данных пользователей, например их паролей или конфигурационных файлов, что далее может привести к обходу системы защиты.

Как отметили в компании SAP CIS перечисленные уязвимости, обнаруженные специалистами Positive Technologies, были устранены в период с сентября 2017 года по март 2018 года.

2017: Уязвимости SAP NetWeaver

24 апреля 2017 года компания Positive Technologies сообщила о выявлении уязвимостей в технологии SAP NetWeaver 7.31. Пользователям платформы предложено установить обновления безопасности.

Эксперты выявили уязвимости в программных компонентах SAP Enterprise Portal Navigation, SAP NetWeaver Log Viewer и SAP Enterprise Portal Theme Editor, входящих в состав платформы SAP NetWeaver. Недостатки безопасности позволяют атакующим выполнить перехват учетных данных для входа, зарегистрировать нажатия клавиш, подменить данные и выполнять другие нелегитимные действия, вплоть до полной компрометации системы.

В исследовании приняли участие специалисты компании Юрий Алейнов, Егор Димитренко, Роман Понеев и Михаил Ключников. Четыре уязвимости межсайтового выполнения сценариев (Cross-Site Scripting, XSS) обнаружены в компонентах корпоративного веб-портала SAP Enterprise Portal — SAP Enterprise Portal Navigation (оценка 6.1 по шкале CVSSv3) и SAP Enterprise Portal Theme Editor (три бреши с оценками 5.4, 6.1 и 6.1 по шкале CVSSv3).

Эксплуатируя уязвимости злоумышленник может получить доступ к токенам сессии жертвы, учетным данным для входа и другой конфиденциальной информации в браузере, выполнить различные действия от имени пользователя, изменить содержимое HTML-страницы, перехватить нажатия клавиш. Рекомендации по устранению этих недостатков описаны в уведомлениях о безопасности (SAP Security note) под номерами 2369469, 2372183, 2372204 и 2377626.

«
Крупнейшие компании мира используют SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимоотношением с поставщиками и клиентами, ресурсами предприятий, поставками и другими критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации играет огромное значение, а нарушение конфиденциальности таких данных может привести к катастрофическим последствиям для бизнеса.

Дмитрий Гуцко, руководитель отдела безопасности бизнес-систем Positive Technologies
»

Уязвимость обхода каталога (Directory Traversal, оценка 5.9 по шкале CVSSv3) — позволяет загрузить произвольные файлы в компоненте SAP NetWeaver Log Viewer. При загрузке некорректно сформированного архива, содержащего файлы со специальными символами в названии, и его последующей распаковке, веб-приложение распознает символы «.» и «/» как часть корректного пути файла, что позволяет злоумышленникам эксплуатировать уязвимость обхода каталога и загружать файлы в любое место файловой системы сервера.

Последствия загрузки произвольных файлов могут повлечь за собой компрометацию системы, чрезмерную нагрузку на файловую систему или базу данных, распространение атаки на серверные системы и подмену данных (defacement). Степень воздействия этой уязвимости высока, поскольку произвольный код может выполняться в контексте сервера. Действия, позволяющие устранить этот недостаток, описаны в уведомлении о безопасности SAP под номером 2370876.

«
Все перечисленные уязвимости были закрыты в рамках Security Patch Day в январе 2017 года. Спасибо коллегам за проделанную работу. Она еще раз напоминает владельцам систем о необходимости своевременно обновлять версии программных продуктов, отслеживать публикацию SAP Note по безопасности и устанавливать патчи, описанные в них.

Дмитрий Костров, директор по информационной безопасности в SAP СНГ
»

2016: Уязвимости SAP NetWeaver

20 июня 2016 года свет увидело исследование компании Digital Security, которое выявило многочисленные уязвимости в SAP NetWeaver компании SAP. ПО - техническая основа для всех приложений SAP Business Suite. Продукты на платформе SAP NW используют тысячи компаний в мире, в том числе – в России и СНГ.

Автор работы Ваагн Вардянян, эксперт департамента аудита безопасности SAP в компании Digital Security. Сканирование проводилось по 7348 SAP-серверам, доступным через Интернет. На сервере, где проводилось исследование, установлено около 1400 компонентов (приложений).


Эксплуатация уязвимостей

В ходе анализа безопасности SAP NetWeaver было обнаружено множество уязвимостей, включая уязвимость разглашения информации, SQL injection, ошибку хеширования паролей. Совместное использование этих проблем безопасности в некоторых случаях дает возможность получить сначала логины пользователей, потом зашифрованные пароли, далее, вследствие неправильной реализации хеширования, – завладеть паролем любого пользователя SAP JAVA.

Если злоумышленник обнаружит одну или несколько из перечисленных уязвимостей, последствия могут быть разными. К примеру, используя только багу разглашения логинов пользователей, он может получить логины пользователей и открыть портал по адресу /irj/portal. Далее, если он начнет вводить неправильные пароли к логинам, после 3-5 попыток будут заблокированы все учетные записи, и бизнес-процессы атакуемой компании просто остановятся, пока администраторы не разблокируют их в ручном режиме.

Другой вектор атак может быть связан с SQL injection. Используя эту уязвимость, злоумышленник может отправить 3-10 веб-запросов на сервер SAP NW JAVA и запросить от базы большой объем данных. Далее, БД задействует все ресурсы сервера для удовлетворения запроса атакующего, при этом сервер перестанет отвечать на все легитимные запросы от сотрудников SAP. И перед нами – классическая картина DoS. Кроме того, злоумышленник может просто получить любые данные, включая критичные, из БД SAP NW JAVA без организации DoS-атаки.

Эксплуатация SQL injection позволит получить хэш пользователей. А если будет задействована и уязвимость, связанная с ошибкой хеширования паролей, представляется возможность «в один клик» завладеть паролем администратора или бухгалтера, похитить денежные средства со счетов компании и перевести их в какой-либо банк, а также получить полную базу пользователей, доступ к персональной информации с возможностью последующей продажи.

Исследование показало, что уязвимости разглашения информации подвержено около 1013 серверов (~14% от общего числа отсканированных серверов, 7348).


Диаграмма доступности портов, (2016)

Красноречиво выглядит статистика доступности сервлета, в котором может содержаться уязвимость SQL injection: 2174 серверов (т.е. ~30% от общего числа отсканированных серверов, 7348).

Диаграмма доступности сервлета, (2016)

Исследователь Digital Security уведомил компанию SAP о найденных уязвимостях, вендор оперативно выпустил патчи и рекомендовал пользователям обновить софт. Некоторым из обнаруженных проблем безопасности был присвоен критичный уровень риска (9.1/10, по классификации SAP).

2010: NetWeaver 7.3

По сообщению представителей SAP, в 2010 году будет выпущена версия платформы — NetWeaver 7.3, для которой обещана значительно улучшенная поддержка Java, в том числе сертификация на соответствие Java EE5, а также расширенная поддержка веб-сервисов, дополненные возможности управления идентификацией и различные усовершенствования в области обеспечения продуктивности работы пользователей, в том числе корпоративные «рабочие пространства».[1]

Как указывают в SAP, в дальнейшем платформа будет задействована в трех ключевых технологических стратегиях компании: в сфере мобильных приложений, облачного ПО и вычислений в оперативной памяти. NetWeaver планируется интегрировать с платформой мобильных приложений, полученной с покупкой Sybase. На основе NetWeaver также разрабатывается проект шлюза Gateway, который позволит осуществлять доступ к данным систем SAP с помощью различных устройств и приложений. Кроме того, к платформе будет присоединен механизм вычислений в оперативной памяти, используемый в анонсированной ранее серии аналитических серверов SAP. В стратегии облачных платформ SAP платформа будет использоваться для обеспечения возможностей управления и разработки.

Отметим, что по мнению некоторых наблюдателей, NetWeaver в последнее время развивается не настолько активно, как конкурентные стеки связующего ПО корпораций Oracle и IBM. В результате появились слухи, что SAP рано или поздно купит крупного производителя связующего ПО наподобие TIBCO или Software AG.

Компоненты и инструменты SAP NetWeaver

Компоненты

Инструменты

Дополнительные решения

  • Архивация и управление документами и данными SAP.

Примечания



ПРОЕКТЫ (12) ПРОЕКТЫ НА БАЗЕ (610) ИНТЕГРАТОРЫ (11)
РЕШЕНИЕ НА БАЗЕ (11) СМ. ТАКЖЕ (78) ОТРАСЛИ (34)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

  IBM (7, 50)
  IFS (4, 46)
  Диасофт (Diasoft) (17, 32)
  Неофлекс Консалтинг (Neoflex) (3, 24)
  Oracle (7, 22)
  Другие (93, 104)

  Datareon (Датареон) (1, 5)
  Oracle (3, 4)
  IFS (1, 4)
  IBM (1, 4)
  Неофлекс Консалтинг (Neoflex) (2, 2)
  Другие (7, 7)

  Maykor-GMCS (1, 3)
  Диасофт (Diasoft) (1, 2)
  IFS (1, 2)
  ID-Russia (1, 2)
  SAP SE (1, 1)
  Другие (2, 2)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год