全球使用SAP ERP的企业用户要注意了,安全厂商发现一只锁定SAP平台的恶意程序近日被公开,将导致全球100万家SAP企业客户中高达9成,陷入系统被黑客接管或删改数据的风险。
安全厂商Onapsis Research Labs近日发现,一只瞄准SAP Gateway和Message Server的恶意程序10KBlaze被公开在网络论坛上。Gateway和Message Server都是SAP Netweaver中的组件,分别提供移动设备及其他系统连接SAP系统,以及串联Netweaver各组件和数据库。10KBlaze主要是利用NetWeaver及S/4HANA一项已由SAP官方披露的系统设置问题而对企业带来威胁。
去年Onapsis发现,SAP NetWeaver Message Server软件出货时,访问控制表(Access Control List, ACL)默认为关闭,以方便系统安装。然而关闭ACL意味着,所有人都可以访问port 3900注册app,包括外部攻击者。事实上SAP早在14年前就三度发出警告,提醒企业用户打开ACL设置,以降低未授权访问的风险。安全公司估计有90万家用户仍使用不当的设置。
研究人员指出,一旦SAP被植入10KBLAZE,远程攻击者即可以用它来添加具备管理员权限的用户帐号,借此访问或修改机密敏感的企业数据,或是取得数据库完整访问权限、搞挂SAP系统或永久删除重要信息。
安全公司指出,由于每个SAP系统都有Message Server和Gateway,因此所有使用NetWeaver Application Server及S/4HANA的系统都可能受影响,包括SAP Business Suite、ERP、SAP CRM、SCM、SAP SRM、S/4HANA、SAP Solution Manager、SAP GRC Process and Access Control、SAP Process Integration/Exchange Infrastructure (PI/XI)、SAP Solution Manager等等。
由于波及范围实在太大,安全公司已经把这只程序的入侵侦测签章开源给主要防火墙厂商如思科、FireEye及Palo Alto,而企业用户也可以将Snort rules实例于防火墙及入侵侦测系统来防止入侵。