Компания SAP выпустила майский набор критических обновлений, который закрывает 11 уязвимостей, обнаруженных сторонними исследователями, в том числе и сотрудниками исследовательского центра DSecRG (Digital Security Research Group) компании Digital Security.
Непосредственно специалистами DSecRG было обнаружено 4 уязвимости в таких компонентах продуктов SAP, как SAP Basis, SAP Portal и SAP BW. Наиболее критичной из них является отказ в обслуживании при обработке XML-пакетов веб-интерфейсом приложения SAP NetWeaver ABAP.
В целом в майском обновлении SAP превалируют уязвимости отказа в обслуживании - так, например, компания Core Security выпустила отчет о множественных уязвимостях, обнаруженных в протоколе DIAG. Это основной протокол, используемый в SAP для передачи данных между клиентом и сервером через клиентское приложение SAP GUI. В данном протоколе недавно уже были выявлены проблемы с небезопасным шифрованием, а точнее - кодированием. Теперь в нем обнаружены и другие уязвимости. Врезультате эксплуатации данных уязвимостей возможен вызов атаки типа "отказ в обслуживании" на сервер приложений SAP NetWeaver, что приведет к остановке работы системы до ее перезагрузки, говорится в сообщении Digital Security.
Помимо отказа в обслуживании, одна из уязвимостей может привести к выполнению произвольного кода на сервере SAP, то есть к получению доступа ко всем критичным для бизнеса данным и процессам.
Как показали исследования, проведенные Digital Security с целью сбора статистики по наличию SAP-систем в интернете, сервис Dispatcher, который обслуживает соединения попротоколу DIAG и должен быть открыт только для доступа внутри корпоративной сети, у некоторых компаний, тем не менее, доступен удаленно через интернет в обход SAP Router. В ходе выборочного сканирования систем по всему миру было обнаружено порядка сотни SAP-систем с доступным для удаленного подключения портом SAP Dispatcher. Наибольшее количество систем было обнаружено в США (30%), Китае (25%), Германии (10%), Колумбии и Корее. Среди обнаруженных систем найдены также и российские IP-адреса.
По неподтвержденным данным, уязвимость можно реализовать только в случае включенной трассировки, что снижает риск. На данный момент всем компаниям, использующим SAP, рекомендуется установить уровень трассировки протокола DIAG в значение 1 или 0 (по умолчанию).