7月14日,SAP官方发布了NetWeaver 的高危漏洞(CVE-2020-6287)补丁。这一名为RECON的漏洞,其通用漏洞评分(CVSS)达10分。攻击者可利用它绕过所有访问和授权控制,获得对SAP系统的完全控制权。

就在同一天,Oracle创纪录地发布了的433个安全漏洞补丁,多个产品受影响,其中包括许多CVSS评分达10分、9.8分的高危漏洞,令攻击者可以获得大量特权,成为这家软件巨头自2015年1月设立补丁发布季以来,发布补丁数量最多的一次。

高危安全漏洞不断爆出,系统攻击面与复杂性不断增加,明确的证据表明ERP系统成为攻击者目标。

早在2018年美国国土安全部就曾警告:针对ERP系统的攻击一触即发,某些情况下甚至会产生堪比永恒之蓝的巨大影响。由于对ERP数据保护缺乏足够的安全控制和可见性,企业遭遇数据泄露只是时间问题。

高能预警:高端ERP漏洞频发

作为面向服务的应用和集成平台,NetWeaver为SAP应用提供开发和运行环境。NetWeaver的高危漏洞意味着多个SAP产品会受到影响,包括而不限于 SAP ERP、SAP SCM、SAP CRM、SAP企业门户、SAPHR门户、SAP 解决方案管理器 (SolMan)等。

安全公司Onapsis 估计,这一漏洞将会影响全球4万家SAP客户。根据BinaryEdge搜索,受影响的SAP系统中有4000是面向互联网的,33%分布在北美,29%在欧洲,27%在亚洲。

安全专家分析,鉴于部署广泛的SAP 解决方案管理器 (SolMan)也受到波及,因此完全可以断定:运行SAP商务套件和S/4 HANA的客户至少有一个系统受此漏洞的影响。

国土安全部下属CISA也警告称:该漏洞使攻击者可读取和修改财务记录、更改银行信息、查阅个人身份信息(PII),甚至管理采购流程、破坏或中断企业运营、实现执行操作系统命令,甚至是删除或修改活动痕迹、日志和其他文件。

这已是在不到两个月时间内,SAP第二次爆出高危漏洞。2020年6月,安全公司Trustwave研究人员披露了SAP ASE数据库软件的六个漏洞,其中两个属于高危漏洞。

实际上,SAP不是在今年才频频爆出高危漏洞。2019年5月,SAP爆出的高危漏洞能够利用其软件配置错误,使攻击者可以删除关键业务应用数据,以及窃取或篡改敏感信息。高达5万用户受到影响。

另一家全球ERP巨头Oracle的产品安全漏洞数量也“毫不逊色”。在SAP发布高危漏洞的当天,Oracle创纪录地发布了433个安全漏洞补丁,多个产品受影响,其中包括许多CVSS评分达10分、9.8分的高危漏洞,令攻击者可以获得大量特权,成为这家软件巨头自2015年1月设立补丁发布季以来,发布补丁数量最多的一次。在今年4月,Oracle公司发布的漏洞补丁为405个。

根据安全公司Onapsis和Digital Shadows发布的报告,在2017年至2019年,SAP和Oracle ERP应用的公开漏洞利用数量增长了100%。实际上,10多年来,SAP和Oracle EBS的安全漏洞和补丁的数量一直在稳定增长。截止2018年,SAP应用的漏洞补丁约为4000个,Oracle则为5000个(考虑不断曝出的大量漏洞,目前这一数字应该有较大增加)。

根据IDC的调查,62%被调查者认为,尽管注意补丁修复,但自身的ERP应用仍存在高危漏洞。主要服务大企业的SAP 和Oracle在全球分别拥有大约30万和43万家高端客户;在中国市场分别占有33%与20%的高端市场。

黑客盯上打开企业王国的钥匙

现代ERP作为模块化的软件系统,将企业的财务、人力资源和客户关系管理等核心业务的数据整合,可以帮助企业更高效运作。

从很多角度看,ERP系统可谓企业的中枢。这些主要由SAP,Microsoft和Oracle等大厂商提供的应用,负责处理企业最敏感、最有价值的数据:客户数据、销售数据、财务数据、产品数据、服务数据、员工数据,甚至商业秘密。难怪有媒体将ERP系统称为打开企业王国的钥匙,甚至企业王冠的珍珠。

目前黑客组织已经开始攻击具有较高价值的ERP应用,以破坏关键业务、渗透目标机构。安全人员发现的多个证据显示:匿名者黑客组织意图攻击 SAP和Oracle ERP应用,意图破坏企业运营、损害关键业务应用。比如,Onapsis 与Digital Shadows的研究人员在暗网发现了约50个SAP软件漏洞利用,30个Oracle软件漏洞利用。

SAP与Oracle EBS公开的漏洞利用

Gartner研究副总裁兼知名分析师Neil MacDonald 在《应用安全发展曲线报告》中指出,“具有经济动机的攻击者正将注意力移到应用软件层,ERP、CRM和人力资源等业务应用成为具有吸引力的目标。在很多机构,ERP是由完全独立的团队来维护的,安全不是头等问题。因此,ERP系统用户经常以保持软件可用性之名,持续运行数年却不去打补丁。

2019年7月,美国教育部发出的安全警告称,黑客利用ERP应用中的漏洞攻击了62所大学。这只是涉及ERP系统的众多安全事件中的最近案例:安全公司Onapsis 2019年10月发布的报告显示,SAP 或Oracle 电子商务套件的企业用户中,有2/3(64%)证实曾在2017-2019年发生过ERP应用相关的数据泄露,其中,大部分涉及敏感数据泄露,包括销售数据(50%)、人力数据(45%)、客户数据(41%)、财务数据(34%),以及知识产权相关数据(36%)。

ERP应用是企业运营的基础。入侵ERP关键应用可能导致意外宕机、增加合规风险、损害品牌信任和导致项目延迟。攻击者对ERP系统所有类型的数据都有浓厚的兴趣,一旦落入不法人员手中,可能对公司营收和声誉造成不利影响。

根据IDC的调查,“1/3(35%)的受访者认为,ERP应用宕机会导致企业每小时损失5万美元”。“ 29%的受访者则认为ERP宕机可能会导致企业每小时损失超过10万美元。”

有一组数据可以说明ERP系统安全的重要性:

  • 使用SAP软件的汽车企业每天生产77万辆汽车;

  • 全球52%的电影是由SAP的客户制作的;

  • 全球65%的电视机生产依赖SAP系统。

  • 全球啤酒产量的72%掌握在SAP客户手中。

这些数字足以显示保护SAP系统安全的重要性。

影响ERP安全的三个要素

复杂的系统架构、定制的功能、大量接口和集成、由于流程受支持,无法承受计划外的宕机、缺乏应对ERP安全的知识和流程。这些因素共同导致ERP客户难以及时更新安全漏洞、安全配置和安全补丁,这意味着许多机构都在运行着不安全的ERP应用。

总的来说,目前影响ERP安全主要有以下因素:

1、产品先天安全性不足

要认识ERP系统看似惊人的漏洞率,有必要了解其发展的历史。

在早期发展时期,ERP系统是独立的孤岛系统,与整个IT基础架构几乎没有建立任何连接。这导致了其后来的发展至今仍在影响ERP系统的安全。在网络安全问题日益受到重视之时,SAP系统的安全却未得到IT部门关注。

此外,由于存在更新困难,大量ERP系统的安全补丁并未得到安装。尽管产品为实现联网需求而不断发展,但SAP系统的基础架构自上世纪九十年代以来并未出现重大变化,这意味着SAP系统在日益复杂的同时仍基于20年前所提出的理念。

咨询公司Turnkey Consulting在最新发布的《SAP安全研究报告》显示, 68.8%的SAP用户认为,在此前的SAP实施过程中,其所在机构对安全问题的关注不足。这意味着,与众多新系统一样,SAP安全通常是部署之后的事后考虑,导致没有将足够的时间和资源分配给整个项目中需要进行的安全活动。因此,53.4%的用户认为,SAP安全漏洞“非常普遍”。

2、复杂性与可用性影响系统更新

用户对系统进行按步就班的更新,这对于安全防护至关重要。SAP and Oracle都会定期更新补丁,并建议用户及时安装。但由于担心“生产、销售或者财务活动可能会受到影响”, 用户通常不会遵从这些建议。很多受到攻击的企业和政府机构均没有安装补丁。

目前,SAP每月发布一次漏洞补丁,Oracle则是每季度发布一次。由于业务竞争激烈,IT项目众多,系统的更新及相关测试工作工作量太大,很多机构经常会忽视这些更新,从而埋下安全隐患。2014年,英伟达的客户服务网站脱机,就是因其未及时修复已存在三年的NetWeaver漏洞。

ERP系统的复杂性也影响用户更新。例如,SAP商业套件包含3.19亿行代码,与之相比,Debian Linux操作系统的代码行数为6700万行,Microsoft Office办公软件的代码行数为4400万行,SAP系统的复杂性显而易见。ERP系统还有大量定制开发,普通的SAP系统包含大约200万行定制代码,此外, SAP部署中还有数千个安全相关设置。

《SAP安全研究报告》的调查显示,大多数受访者没有足够的能力来管理ERP系统的风险。五分之一(20.8%)的受访者认为多数企业不具备有效保护SAP应用和环境的技能和工具,64.3%的受访者则认为自己只具有部分所需的技能和工具。

3、迁移云端的风险

更糟糕的是,随着越来越多的ERP系统与其他业务功能绑定,并逐步向云端迁移,风险呈指数级增长。

今年1月,云安全联盟(CSA)发布《企业资源规划(ERP)应用和云部署报告》显示,69%的机构正在将包括SAP和Oracle在内的ERP平台数据迁移到云端。美洲和亚太地区的这一数字高达73%。

随着关键ERP系统向云端迁移,提高了系统的连接性和移动性,在给用户带来便利的同时也增加了攻击面,使SAP应用和基础架构更多地暴露在攻击风险中,与之相关的安全事件和错误配置均出现增长。但由于对内部系统的攻击很少公开披露,这一问题至今仍被企业的IT和高级管理人员所忽略。

此外,向云端迁移也给旧有的SAP应用平台带来安全隐忧,漏洞持续出现,其中一些甚至已存在了10年以上;传统软件平台的设计并未着眼于互联网连接,因而缺乏足够安全手段,这些将会持续威胁SAP用户的安全。

ERP安全如何防护?

企业ERP是数据的宝库,目前已经成为黑客的攻击目标。针对ERP系统的防护建议如下:

1、践行安全内生的理念

利用ERP向云端迁移的契机,从整体上规划安全防护,将ERP定制开发、ERP配置、ERP集成等纳入ERP安全策略,并在整个项目中分阶段实施。改变安全防护事后补救的传统做法,实现“安全内生”。

目前,企业的安全意识不断增强,安全从设计开始、安全内生已经成为广为接受的理念。《SAP安全研究报告》显示,74%的受访者预计安全在未来的SAP部署中会获得更高的优先级;89%的受访者赞同聘请安全专家为平台转化提供支持。

2、构建跨部门的安全团队

ERP系统安全应该成为企业的优先事项,而不仅仅是以IT部门为中心。企业应设立跨IT、运营、财务和法律部门的团队,负责ERP系统的安全,并制定ERP系统安全的指标和决策,解决安全部门不参与ERP项目,而ERP团队不整体负责应用安全的问题;同时,将ERP系统包含在企业的安全事件响应和业务连续性方案中。

通过审计的信息风险管理无法确保ERP系统安全。IT与安全人员负责从日志与告警、多因素验证、数据防丢失等安全技术角度,对ERP环境进行细致检查,弥补ERP安全一直以来在技术漏洞与渗透测试等方面的不足。

3、核心是解决漏洞修复和配置问题

目前ERP有三种主要的部署模式: 传统的本地部署,云端署模式以及二者兼有的混合模式。鉴于ERP的主要安全风险源于大量安全漏洞未得到修复以及软件错误配置。对企业来说,除了部署足够的安全解决方案,最重要的是要解决漏洞修复和配置问题:部署补丁管理解决方案,确保对ERP系统的高危安全漏洞补丁进行审查和部署;同时,企业还需要具有确保ERP部署安全实施和配置的策略。

此外,安全专家建议还应该部署业务安全解决方案,对于关键ERP系统中进行监控,帮助安全团队发现来ERP系统中的可疑行为,消除安全防护的盲区。

声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。