【51CTO.com獨家特稿】在復雜的信息安全處理過程中，最重要的任務之一就是業務應用軟件的安全性。如今，SAP平臺是應用最為廣泛的管理企業系統和存儲最重要的數據的平臺。遺憾的是，人們對于SAP的安全性關注卻仍顯不足。我們通過實例詳細介紹了針對SAP客戶端的一些攻擊手法，希望籍此引起安全人員的足夠重視。

一、簡介

在復雜的信息安全處理過程中，最重要的任務之一就是業務應用軟件的安全性。如今，SAP平臺是用得最為廣泛的管理企業系統和存儲最重要的數據的平臺。遺憾的是，人們對于SAP的安全性關注卻仍顯不足。實際上，在SAP系統的各種級別上還有許多問題，如網絡級、業務系統級別、數據庫級別、應用程序級別和表示級即SAP客戶端。關于SAP服務器安全性的文獻，流傳較多，但是有關SAP客戶端安全性的介紹，卻比較少見。實際上，即使SAP服務器環境是安全的，只要SAP客戶端出現紕漏，那么根據木桶原理，整個系統的安全性就會潰于蟻穴。

在本文中，我們要討論的就是SAP客戶端的安全性問題。SAP客戶端不僅可能從企業網絡發動攻擊，而且還可能從有權訪問SAP服務器和關鍵業務數據的企業網絡和用戶工作站的公共網絡發動攻擊。

二、利用溢出漏洞攻擊SAP客戶端

SAPGUI是一個標準的應用程序，它用來連接SAP并使用有關數據。在采用了SAP的大型公司中，幾乎所有的SAP客戶端工作站上都安裝了這個應用程序。

就像其它具有復雜結構的應用程序一樣，這個應用程序也存在許多漏洞。鑒于這個應用程序的流行性，在SAPGUI中發現的漏洞的嚴重性堪比IE瀏覽器或者Microsoft office軟件中的溢出漏洞。Windows基本設施在更新方面還是比較方便的，同時管理員還會收到嚴重Windows漏洞的通知，但是SAP客戶端的情況就不同了。SAP客戶端的安全問題主要有兩個，一是客戶端軟件沒有自動更新系統，二是在現有的問題和解決方法方面的信息還比較匱乏。

考慮到SAP系統是通過瀏覽器來訪問的，所以在SAP Web服務器中存在的XSS安全漏洞可能導致針對SAP客戶端的各種攻擊，并提高了攻擊SAP客戶端的可能性。

在本文中，我們會進一步仔細考察在SAP GUI客戶端應用程序和SAP Web服務器中存在的各種漏洞，以及在SAP GUI應用程序的SAPlpd組件中的緩沖區溢出。

去年初，安全專家已經在SAPlpd和SAPsprint組件中發現了一些緩沖區溢出漏洞。組件SAPlpd是安裝在每個SAP用戶工作站上的客戶應用程序SAP GUI的一部分，運行在515端口上提供打印服務。人們在SAPlpd所使用的協議中已經發現了許多漏洞，這些漏洞允許攻擊者遠程控制有弱點的系統，執行拒絕服務攻擊，或者停止打印服務。這些漏洞的詳細情況可以從SAP的正式報告中找到。主要特點是，有弱點的服務端口默認時是關閉的，只有當用戶打印下一個文檔時才打開。乍一看這個特點提高了攻擊用戶工作站的難度，事實上絕非如此。

考慮到采用SAP的公司，一般SAP用戶的數量都是數以百計的，甚至數以千計，所以在給定時刻有人打印文檔的可能性是非常大的。因此，可以編寫一個腳本來掃描網絡，尋找開放的端口，并在檢測到開放端口時啟動漏洞利用代碼來迅速得到有弱點的用戶的工作站的管理訪問權限。

這不僅是一個理論設想而已，實際上做起來也很簡單。針對特定安全漏洞的漏洞利用代碼已經添加到了Metasploit框架中了，而Metasploit是可以從互聯網免費下載的。攻擊者需要做的，只是選擇一個將在客戶端上使用的shell-code，然后使用db_autopwn模塊添加一列客戶工作站的IP地址就行了。如果SAPlpd的版本有弱點，并且用戶在此刻啟動了打印服務，那么攻擊者就能夠得到對該用戶的工作站的訪問權限（如圖1所示）。實際上，67%的SAPGUI安裝都易于受到這種攻擊的危害。

圖1   獲取對帶有SAPlpd安全漏洞的SAP客戶端的訪問權限

得到了用戶的工作站命令提示符的訪問權限后，攻擊者就可以做一些更出格的事情，例如，可以安裝特洛伊木馬程序來竊取用戶的密碼，或者從sapshortcut.ini配置文件中讀取用戶證書，這樣就可以直接訪問SAP服務器和關鍵業務數據了。 #p#

三、SAP GUI中的ActiveX漏洞

實際上，SAP GUI應用程序還有許多緩沖區溢出漏洞。我們下面討論SAP GUI應用程序的ActiveX組件中的一些漏洞。SAP GUI由大約1000個不同的ActiveX組件構成，而每個ActiveX組件都可能存在漏洞。

為了利用這類漏洞，通常需要人工介入：用戶必須點擊攻擊者提供的鏈接（這些鏈接可以通過電子郵件、即時通訊工具等等傳遞給用戶），從而導致瀏覽器中的脆弱部件被利用，這樣受害者的命令提示符的訪問權就落入了攻擊者手里了。有關數據顯示，一般說來會有10%到50%的用戶會點擊攻擊者通過社交工程發給他們的惡意鏈接。會導致溢出攻擊的脆弱組件將在受害者瀏覽器所在的上下文中執行，如果受害者經常在管理員權限之下啟動瀏覽器的話，攻擊者就獲得了相應的權限。

第一個公開的SAP GUI中的ActiveX組件弱點是在2007年發布的。同時，在kwedit組件中也已經發現了一個安全漏洞，此外，在kwedit rfcguisink組件中還發現了另一個安全漏洞。成功利用這些漏洞后，攻擊者就會得到客戶系統的遠程控制權限。這些漏洞已經被修補過了，詳情可以參考SAP的有關通知。之后，在其他組件中也發現了一些遠程溢出漏洞。 其中還有一些漏洞仍未修補好。

2009年6月份，又發現了一個緩沖區溢出安全漏洞。 Sapirrfc.dll 中的這個安全漏洞與發現的其他漏洞一樣，也可以用來獲得對受害者的工作站的遠程控制權限。

要想利用這個安全漏洞，攻擊者可以設計一個HTML頁面，用該頁面來加載有弱點的ActiveX組件SAPIrRfc，然后向其發送一行大小超過720字節的參數來接管它。

一旦用戶點擊了該鏈接，那么就會引起針對用戶的工作站的拒絕服務攻擊，或者在用戶的工作站上執行遠程代碼。在這里，您將看到一個會導致拒絕服務的概念性驗證代碼，如圖所示：

圖2    示例代碼

總起來說，以下因素增加了該攻擊的危險程度：

1.在rfcguisink、kwedit和WebViewer3D中發現的許多漏洞都有現成的攻擊代碼可用，并且許多已經包含在Metasploit中了。所以攻擊者需要做的只是選擇一個shell-code，找到用戶電子郵件地址，然后向其發送含有鏈接的電子郵件，其中的鏈接指向攻擊者的使用了脆弱組件的站點。 從而有可能收到大數量企業工作站上的shell。

2.在組件sapirrfc.dll中發現的安全漏洞已經在SAP GUI 7.10版本中得到了修補。 但是，對于6.2和6.4版本來說，還沒有補丁可用，所以建議升級到7.1版本。 考慮到目前6.2和6.4版本占用戶工作站的10%和50%（版本7.1的用戶工作站占剩下的40%），所以大部分的公司用戶仍然生活在這些攻擊的威脅之下。

3.除了使用郵件或者即時通訊工具之外，變通的攻擊辦法是，攻擊者可以在企業文檔流通系統例如SAP CFolders中創建惡意的html文檔。 在這種情況下，人們對該文檔的信任程度會明顯高于郵件或者即時通訊工具，但是在內部系統中上載文檔相對來說要更困難一些。 #p#

四、利用SAP Web應用程序服務器漏洞攻擊SAP客戶端

目前，越來越多的SAP系統通過web進行傳輸，像SAP Enterprise Portal、SAP SRM 、SAP CRM 以及許多其他組件等等。 一些程序允許通過瀏覽器來使用SAP系統的各種功能，并且SAP應用程序看起來跟普遍的Web應用程序沒什么兩樣。然而，即使底部的SAP平臺NetWeaver也是構建于不同的Web服務之上一個應用程序服務器而已。即使在無需額外的組件的默認配置下，SAP NetWeaver也帶有若干漏洞。

盡管這些漏洞都是在Web服務器中發現的，但是攻擊的對象卻是SAP客戶端。因此，談及SAP客戶端的安全時，必須提到在Web應用程序中的典型客戶端漏洞。關于SAP客戶端，我們關心的漏洞有：  

◆HTML代碼注入漏洞或者存儲式XSS；  

◆反射式XSS；  

◆釣魚攻擊或身份驗證數據攔截  

◆HTML代碼注入漏洞以及存儲式XSS

下面讓我們考察在應用程序SAP SRM（該應用程序用于遠程供應商）中的一個html注入安全漏洞(也稱為存儲式XSS)的例子。

SAP SRM系統允許創建含有任何數據的HTML文檔，并將該文檔放置到采購方的General文件夾中。因此，經過身份驗證的系統用戶(供應方）就可以發動存儲式XSS攻擊。 攻擊假設把惡意代碼注入到入口頁面中。例如，通常買方是可以訪問文檔交換文件夾的。買方萬一成功查看了這個頁面，他的會話證書(Cookie)就會被攔截，并轉發給攻擊者的站點。    作為一個例子，可以使用以下HTML文件：

圖3  示例HTML文件

由于SAP SRM的用戶會話沒有綁定IP地址，所以攻擊者可以使用他的cookie連接到用戶環境，并獲得其他供應商的文檔的權限以及管理系統功能的權限。 這個漏洞不是唯一的，關于相似的漏洞的詳情可以在官員通報中找到。在這個通報中描述的漏洞允許在入口頁面里注入任何HTML和JavaScript，從而獲得對其他用戶的會話的訪問權限。

還記得前面介紹的SAPGUI ActiveX組件中的漏洞吧，如果跟這里的漏洞相結合，就會得到一種新的攻擊形式。這時，要求加載HTML頁面來調用一個有弱點的ActiveX組件。 在這種情況下，如果公司的雇員打開了我們的文檔，那么我們就能夠訪問他的工作站了，從而為我們進一步攻擊企業網絡打下了基礎。

反射式XSS

就像前面提到的那樣，甚至在標準應用程序SAP NetWeaver中也存在許多的安全漏洞，所以更不要說其它的組件了。據安全研究人員稱，在各種SAP應用程序中現已公布了的安全漏洞就有20個左右。 這只是已經公開的，至于那些尚未公之于眾的，我們就不得而知了。

就像前面介紹的SAP SRM中的安全漏洞一樣，我們將考察在另一個應用程序SAP IGS中的一些安全漏洞。對于這些漏洞，攻擊者必須創建一個鏈接，如下所示： 

圖4   示例鏈接

然后，攻擊者必須發給受害者并得到他的cookie。在標準SAP環境和其它組件中，像這樣的安全漏洞還有很多，在此不作一一介紹。

利用XSS“釣取”身份驗證數據

利用XSS安全漏洞，還有可能利用釣魚攻擊來嗅探用戶的身份驗證數據。在SAP Web應用程序服務器中就發現了這樣的XSS安全漏洞，而SAP Web應用程序服務器則是整個SAP系統的基礎。之所以出現這個安全漏洞，是因為對通過web登錄到SAP系統時的URL中用來表示標準接口的sap/bc/gui/sap/its/webgui/沒有進行嚴格的過濾所導致的。

圖5   登錄SAP使得標準Web接口

這個XSS安全漏洞允許在URL中注入JavaScript代碼，用這樣的方式，可以把用戶和密碼輸入表單之后的內容注入到頁面的源代碼中。所以，它實際是注入了修改標準輸入字段的代碼，并在按下提交按鈕的時候把用戶輸入的數據轉移到攻擊者控制之下的站點上了。 下面是頁面的原始代碼片段：

圖6   原始頁面代碼片段

就像看到的那樣，我們可以利用注入的代碼改寫輸入表單。為了實現這種攻擊，攻擊者必須向潛在的受害者發送如下所示的一個鏈接：

圖7  示例鏈接

所以當用戶點擊了這個鏈接并輸入身份驗證數據的時候，這些數據就會落入攻擊者的手里了。

五、小結

本文中，我們通過實例詳細介紹了針對SAP客戶端的一些攻擊手法。這些漏洞的利用代碼都可以從網絡上找到，所以提高了這些漏洞的危險系數。我們知道，針對Web客戶端的安全漏洞的數量是很大的，而幾乎每個SAP應用程序中都存在Web客戶端安全漏洞。所以，希望引起負責該系統的安全人員引起足夠的重視。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】