近期,国家信息安全漏洞共享平台(CNVD)收录了SAP云商务平台HANA系统存在多个漏洞中的两个关键漏洞:HANA自助服务身份认证漏洞与会话固定(Session Fixation)漏洞(CNVD-2017-02799、CNVD-2017-02802)。利用这些漏洞,外部或内部攻击者未经任何身份认证就能够冒用其他用户甚至是高权限用户身份,远程控制SAP HANA平台,使得平台上承载的企业和组织信息和业务安全可能面临严重威胁。

一、漏洞情况分析

SAP是总部位于德国沃尔多夫市的全球最大的企业管理和协同化电子商务解决方案供应商。HANA(High-Performance Analytic Appliance)是一个软硬件结合体的内存数据库,大量应用于实时业务数据的查询和分析。根据国外安全公司 Onapsis Research Labs 的报告,其发现SAP云商务平台 HANA 中存在27个漏洞,其中有两个关键漏洞:

(一)SAP HANA自助服务工具身份认证漏洞。该工具允许用户激活一些额外的功能,如修改密码、密码重置、用户自注册等功能,但却存在身份认证漏洞,攻击者不需要经过任何验证,可利用漏洞通过HANA的用户自助服务元件入侵整个系统。

(二)SAPHANA自助服务存在会话固定漏洞(Session Fixation)。外部或内部攻击者未经任何身份认证就能够使用其他用户甚至是高权限用户会话权限,在不需要用户名和密码的情况下修改、窃取或删除敏感资料。

CNVD对上述漏洞的技术评级为“高危”。

二、漏洞影响范围

漏洞影响SAP HANA2及以往旧版本,包括SAP HANA SPS09等。根据CNVD秘书处普查结果,互联网上共有约2.4万台标记为SAP HANA云商务平台的主机IP,其中排名前五的国家和地区分别是美国(占比35.7%)、韩国(10.8%)、德国(10.1%)、中国大陆地区(6.9%)以及印度(3.0%)。

三、漏洞修复建议

CNVD提醒用户及时的更新系统到官方最新版本。运行老旧的系统或不当的配置都会影响 SAP HANA业务系统的安全性,增加数据丢失的风险。也可以通过以下临时解决方案:禁用用户自助服务,或添加网络边界设备访问控制措施。

详细漏洞信息可参考SAP HANA自助服务漏洞专用网站:https://www.onapsis.com/threat-report-understanding-sap-hana-user-self-service-vulnerability

附:参考链接:

https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02799

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02802