SAP安全性纵览：服务器端请求伪造（SSRF）攻击缓解方法

SAP AG是世界上最大的软件公司之一，在全球各地有超过183,000个客户在使用其应用和服务。知名产品包括SAP ERP、SAP Business Warehouse和SAP Business Objects等，一些全球最大的企业都在使用这些产品。

坐拥如此庞大的用户群，不可避免地使SAP的软件成为攻击者“垂涎”的目标，原因显而易见：有价值的数据存储在同一个地方，由成千上万用户使用的软件来处理，并且能够通过互联网访问。网络犯罪分子愿意花费大量时间和资源来开发针对SAP部署的恶意软件，因为潜在的回报将是值得的。

在2012年黑帽大会上，ERPScan研究人员Alexander Polyakov使用被称为服务器端请求伪造（SSRF）的攻击技术来启动一系列漏洞，导致SAP软件堆栈的核心SAP Kerne出现缓冲区溢出。基于SSRF的攻击通过将恶意代码隐藏在看似合法的应用数据包内来躲避检测，使其能够绕过防火墙和内部SAP安全配置。研究人员演示的这个攻击是在单个请求中，这使基于签名的入侵检测系统（IDS）几乎不可能将其识别为恶意软件。

在这篇文章中，笔者将为担心其SAP部署安全性的企业提供SAP安全纵览，以及抵御服务器端请求伪造攻击的一些技巧。

SAP安全性纵览

随着时间的推移，主要软件供应商（包括SAP）已经显著提高了其软件安全水平。安全要求是SAP开发模式的组成部分，其开发模式被称为产品创新生命周期（Product Innovation Lifecycle，PLL）。PLL侧重于合法合规、降低所有权总成本以及避免潜在安全漏洞。SAP不仅对其产品执行内部安全评估，并允许外部机构和独立人士对其产品进行评估，以确保遵循其安全开发准则。（Polyakov的攻击针对的是以卡通人物Dilbert命名的SAP测试服务，虽然这有点令人担心。）

当然，没有软件能够永远不出现错误和漏洞。Java虚拟机中同样发现了与Polyakov曝光的类似的问题，因此，基于J2EE且使用XML传输数据的PeopleSoft和Oracle E-Business套件等业务系统很容易遭受SSRF式的攻击。这些不断涌现出的问题强调了正确配置企业软件以及硬化运行这些软件的机器的重要性。SAP已经修复了Polyakov攻击所利用的漏洞，但是，管理员必须一如既往的订阅其供应商的警报信息，以随时了解最新威胁和修复补丁信息，从而打击攻击。

很多企业没有修复关键任务型系统，因为更新这些复杂和自定义的部署非常困难。对于零日漏洞TNS Poison，Oracle公司仅仅发布了一个安全警报，而不是一个补丁，其理由是这个补丁将非常复杂，并且 “向后迁移（backport）”存在危险。企业软件复杂性的问题意味着很多系统存在很多已知安全漏洞，而纯粹地依赖于防火墙和DMZ来进行保护。考虑到不断被发现的新漏洞，关键任务型软件程序应该放置在受良好保护的网段，同时，部署防火墙监测传入和传出流量。

保护SAP部署

　　如果攻击来自值得信赖的来源，例如Polyakov的SSRF式攻击，入站防火墙规则不可能阻止这种攻击。在某些时候，攻击者还会提取目标数据，因此企业应该监测出站网络流量来检查流量是否使用预期协议和端口传送到合法目的地。并且，所有机器都应该被硬化，数据库的配置与处理数据的软件必须根据供应商的规范进行配置，以确保设置的安全性。由于业务关键型应用不会处理隔离的数据，连接到这些机器和来自这些机器的数据也应该被加密。

广泛的日志记录对于发现和跟踪攻击是非常重要的。例如，用于破坏系统的零日攻击可能不会被发现，但是通过部署网络传感器日志记录和分析内部网络流量以发现不寻常活动，将能够触发警报，而这将可能发现攻击行为，如果没有日志记录，攻击可能被忽略。另一个重要的安全控制是渗透测试，它可以评估防火墙、入侵检测系统和防病毒网关是否按预期执行以及是否有效地保护网络。

渗透测试将帮助评估与所有未发现漏洞相关的风险以及降低风险的最佳做法。它还能够评估服务之间的关系，确定到这些数据的接入点能否抵御试图利用它们的攻击，以及测量网络防御的能力，以成功地检测和响应测试。渗透测试模拟了潜在攻击者的角色，这是企业能够执行的最现实的安全测试。ERPS发布了一个新的渗透工具，叫做SAP ERPScan安全扫描器，专门用于发现容易遭受攻击的SAP部署。

保护SAP 别无他选

在未来几年内，SAP软件将仍然是很多世界上最大的企业的运营中的一个重要元素，攻击者也将继续攻击SAP。简单地说，企业别无选择，必须严格地保护其SAP部署。Polyakov演示的服务器端请求伪造攻击是一个警钟，他向我们展示了SAP攻击的现实及其危害。幸运的是，只要企业采取正确的预防措施，全面的SAP安全性是可以实现的。