Российские эксперты: Через «дыру» в СУБД SAP можно украсть все данные компании
Неправильная организация защиты в платформе SAP HANA позволяет злоумышленникам легко получить доступ к паролям пользователей и ключам шифрования, а после этого — ко всем данным предприятия, которые обрабатывает это решение.
Уязвимость
Ключевой продукт компании SAP — платформа SAP HANA — содержит уязвимость, позволяющую злоумышленникам легко получить доступ к логинам и паролям пользователей и обрабатываемой информации. Об этом на конференции Black Hat Sessions XIII в Нидерландах рассказал технический директор российской компании Digital Security Александр Поляков. На мероприятии он выступил от лица ERPScan — калифорнийской «дочки» Digital Security, специализирующейся на поиске уязвимостей в системах управления ресурсами предприятий.
SAP HANA (High performance ANalytic Appliance) — программно-аппаратное решение для управления базами данных, выпускаемое компанией SAP с 2011 г. Оно предназначено для обработки больших объемов информации в режиме реального времени.
Суть проблемы
По словам Полякова, проблема заключается в том, что заказчики SAP HANA не меняют статический мастер-ключ, который в каждой инсталляции платформы HANA один и тот же во всем мире. Завладев этим ключом, хакер может получить доступ ко всем данным на платформе.
Как пояснил CNews директор департамента аудита SAP в компании Digital Security Дмитрий Частухин, получить ключ шифрования можно путем анализа программного кода и проведения исследований. Специалисты Digital Security воспользовались именно этим методом и смогли расшифровывать данные на других серверах, используя найденный ключ. «Самое главное, что для расшифровки файла далеко не всегда нужно обладать высокой квалификацией», — добавил он.
In-Memory не спасает от хакеров
SAP HANA использует технологию In-Memory, позволяющую значительно повысить скорость обработки данных. Основным элементом платформы является одноименная база данных SAP HANA, которая полностью находится в оперативной памяти сервера (отсюда и название технологии).
«Люди думают, раз SAP HANA — это база данных In-Memory, на жестких дисках никакой информации не хранится. Но на самом деле все не так замечательно. В действительности некоторые данные находятся на дисках», — объяснил Поляков. Дело в том, что система резервирует данные из оперативной памяти на диск на тот случай, если произойдет какой-либо сбой.
Уязвимость в ключевом продукте SAP дает доступ ко всем данным
«Никто не меняет ключ»
«К этим данным, например, относятся данные некоторых технических аккаунтов, пароли и ключи для дешифровки точек сохранения. Все они находятся в хранилище под именем hdbuserstore. Это хранилище — простой файл на диске. Он зашифрован при помощи алгоритма 3DES с использованием статического мастер-ключа. Если вы получите доступ к этому файлу и дешифруете его, используя статический мастер-ключ (один и тот же для всех инсталляций), у вас будут пароли пользователей системы и ключи для дешифровки данных на дисках. После этого вы сможете получить доступ ко всем данным».
В документации к SAP HANA говорится, что заказчик должен сменить статический мастер-ключ, но никто этого не делает. По словам Полякова, все из опрошенных компанией ERPScan клиентов, то есть 100% предприятий, продолжают пользоваться заводским ключом для шифрования hdbuserstore.
«Вендорам следует заставлять клиентов менять ключ во время установки, а не прятать эту рекомендацию в инструкции объемом 160 страниц», — заявил техдиректор Digital Security.
Популярность SAP HANA
SAP HANA — популярная в корпоративном секторе платформа. По данным сайта Business Insider, ею пользуются свыше 6,4 тыс. компаний во всем мире, главным образом в сферах производства, финансов, информационных технологий, коммунальных услуг и розничных продаж. Согласно SAP HANA, число активных пользователей платформы превышает 815 тыс. человек. Все это делает безопасность решения ключевым аспектом.
Распространенная проблема
«Статические ключи и слабые алгоритмы шифрования — распространенные проблемы в сфере корпоративного ПО, такого как ERP-системы. Недавно наши специалисты обнаружили критическую уязвимость в механизме генерации токенов в продукте Oracle PeopleSoft. Более 200 коммерческих решений уязвимы к этой атаке», — добавил Поляков.
Уязвимость в Oracle PeopleSoft
Суть этой «дыры» заключается в том, что некоторые компоненты ERP-системы PeopleSoft поддерживают вход через интернет, при этом в некоторых случаях посетителю не нужно регистрироваться, например, чтобы попасть на страницу восстановления пароля или в форму подачи резюме на вакансию. Для доступа к этим разделам в PeopleSoft существует специальная учетная запись с минимальными правами. Механизм доступа основан на аутентификационном куки — TokenID, — генерируемом на основе алгоритма хэширования SHA1. Используя видеокарту за $500, злоумышленник может в течение одного дня расшифровать TokenID и повысить свои привилегии в системе.
Другие уязвимости, найденные Digital Security
Digital Security со штаб-квартирой в Москве неоднократно сообщала об обнаружении уязвимостей в продуктах SAP. В 2011 г. аналитики компании обнаружили критическую уязвимость в ядре ERP-системы, а в 2013 г. — первый троян, имеющий отношение к этому продукту. Digital Security ищет «дыры» и в решениях других популярных поставщиков. Например, в ноябре 2014 г. компания сообщила об обнаруженной ею уязвимости в приложениях «Лаборатории Касперского», McAfee и Avast Software.
Уязвимость
Ключевой продукт компании SAP — платформа SAP HANA — содержит уязвимость, позволяющую злоумышленникам легко получить доступ к логинам и паролям пользователей и обрабатываемой информации. Об этом на конференции Black Hat Sessions XIII в Нидерландах рассказал технический директор российской компании Digital Security Александр Поляков. На мероприятии он выступил от лица ERPScan — калифорнийской «дочки» Digital Security, специализирующейся на поиске уязвимостей в системах управления ресурсами предприятий.
SAP HANA (High performance ANalytic Appliance) — программно-аппаратное решение для управления базами данных, выпускаемое компанией SAP с 2011 г. Оно предназначено для обработки больших объемов информации в режиме реального времени.
Суть проблемы
По словам Полякова, проблема заключается в том, что заказчики SAP HANA не меняют статический мастер-ключ, который в каждой инсталляции платформы HANA один и тот же во всем мире. Завладев этим ключом, хакер может получить доступ ко всем данным на платформе.
Как пояснил CNews директор департамента аудита SAP в компании Digital Security Дмитрий Частухин, получить ключ шифрования можно путем анализа программного кода и проведения исследований. Специалисты Digital Security воспользовались именно этим методом и смогли расшифровывать данные на других серверах, используя найденный ключ. «Самое главное, что для расшифровки файла далеко не всегда нужно обладать высокой квалификацией», — добавил он.
In-Memory не спасает от хакеров
SAP HANA использует технологию In-Memory, позволяющую значительно повысить скорость обработки данных. Основным элементом платформы является одноименная база данных SAP HANA, которая полностью находится в оперативной памяти сервера (отсюда и название технологии).
«Люди думают, раз SAP HANA — это база данных In-Memory, на жестких дисках никакой информации не хранится. Но на самом деле все не так замечательно. В действительности некоторые данные находятся на дисках», — объяснил Поляков. Дело в том, что система резервирует данные из оперативной памяти на диск на тот случай, если произойдет какой-либо сбой.
Уязвимость в ключевом продукте SAP дает доступ ко всем данным
«Никто не меняет ключ»
«К этим данным, например, относятся данные некоторых технических аккаунтов, пароли и ключи для дешифровки точек сохранения. Все они находятся в хранилище под именем hdbuserstore. Это хранилище — простой файл на диске. Он зашифрован при помощи алгоритма 3DES с использованием статического мастер-ключа. Если вы получите доступ к этому файлу и дешифруете его, используя статический мастер-ключ (один и тот же для всех инсталляций), у вас будут пароли пользователей системы и ключи для дешифровки данных на дисках. После этого вы сможете получить доступ ко всем данным».
В документации к SAP HANA говорится, что заказчик должен сменить статический мастер-ключ, но никто этого не делает. По словам Полякова, все из опрошенных компанией ERPScan клиентов, то есть 100% предприятий, продолжают пользоваться заводским ключом для шифрования hdbuserstore.
«Вендорам следует заставлять клиентов менять ключ во время установки, а не прятать эту рекомендацию в инструкции объемом 160 страниц», — заявил техдиректор Digital Security.
Популярность SAP HANA
SAP HANA — популярная в корпоративном секторе платформа. По данным сайта Business Insider, ею пользуются свыше 6,4 тыс. компаний во всем мире, главным образом в сферах производства, финансов, информационных технологий, коммунальных услуг и розничных продаж. Согласно SAP HANA, число активных пользователей платформы превышает 815 тыс. человек. Все это делает безопасность решения ключевым аспектом.
Распространенная проблема
«Статические ключи и слабые алгоритмы шифрования — распространенные проблемы в сфере корпоративного ПО, такого как ERP-системы. Недавно наши специалисты обнаружили критическую уязвимость в механизме генерации токенов в продукте Oracle PeopleSoft. Более 200 коммерческих решений уязвимы к этой атаке», — добавил Поляков.
Уязвимость в Oracle PeopleSoft
Суть этой «дыры» заключается в том, что некоторые компоненты ERP-системы PeopleSoft поддерживают вход через интернет, при этом в некоторых случаях посетителю не нужно регистрироваться, например, чтобы попасть на страницу восстановления пароля или в форму подачи резюме на вакансию. Для доступа к этим разделам в PeopleSoft существует специальная учетная запись с минимальными правами. Механизм доступа основан на аутентификационном куки — TokenID, — генерируемом на основе алгоритма хэширования SHA1. Используя видеокарту за $500, злоумышленник может в течение одного дня расшифровать TokenID и повысить свои привилегии в системе.
Другие уязвимости, найденные Digital Security
Digital Security со штаб-квартирой в Москве неоднократно сообщала об обнаружении уязвимостей в продуктах SAP. В 2011 г. аналитики компании обнаружили критическую уязвимость в ядре ERP-системы, а в 2013 г. — первый троян, имеющий отношение к этому продукту. Digital Security ищет «дыры» и в решениях других популярных поставщиков. Например, в ноябре 2014 г. компания сообщила об обнаруженной ею уязвимости в приложениях «Лаборатории Касперского», McAfee и Avast Software.
Ещё новости по теме:
18:20