部分陈旧SAP系统包含默认内核用户账户——结果可能令人担忧

安全研究人员已经能够利用默认密码在世界范围内的各类企业系统中访问其默认SAP账户。

这一安全大事件意味着全球范围内的SAP系统都有可能遭遇数据窃取、业务流程篡改以及欺诈活动的影响，安全方案专业企业ERP-SEC公司警告称。

ERP-SEC公司研究员Joris van de Vis在最近召开的Troopers安全大会上通过其中三个默认账户演示了如何对SAP解决方案管理工具以及联网系统进行入侵。

此问题仅会影响到较早版本的SAP企业软件产品。Van de Vis的研究发现，受影响安装版本中存在部分“高风险”默认账户，其中一个甚至属于“硬编码内核用户”。

“受影响客户的准确比例目前尚不清楚，但在对部分客户进行快速检查后，结果显示至少50%的企业在系统中使用一个或者多个此类默认用户及密码，”van de Vis解释称。“这种问题仅仅影响到部分长期SAP客户，而新安装的产品则与之无关。”

客户需要变更这些用户的默认密码。SAP已经发布了一份安全注意事项，旨在支持SAP客户完成相关修改流程。

ERP-SEC公司的van de Vis解释道，这一安全问题起源于SAP解决方案管理工具7.0强化包1中的安全缺陷。“由于很多客户从未变更过这些账户或者升级至更新的SAP解决方案管理工具7.1，因此这一问题在很多企业中依旧存在。”

上述问题的根源在于，SAP方面在安装向导中使用默认密码以创建用户。“这些向导会利用默认密码‘init1234’创建部分账户，”van de Vis补充称。

ERP-SEC公司已经发布了一款免费工具，帮助SAP客户检测自身业务环境下是否存在使用默认密码的账户。

而在回应我们的征询请求时，SAP方面表示其已经修复了这一问题：

SAP产品安全响应团队经常与各研究企业进行协作，旨在确保对已披露的安全漏洞做出响应。此次Troopers IT安全大会（于今年3月14号在德国海德堡召开）中曝光的漏洞已经得到修复，目前相关安全补丁已经在SAP服务市场上提供下载。

我们强烈建议客户立即应用这些来自SAP服务市场的安全补丁，从而保护自身SAP业务环境。