作為掌握著企業(yè)核心資源信息的ERP系統(tǒng),長久以來其安全性卻遭到忽視。CIO及IT經(jīng)理們更多的將精力放在系統(tǒng)安全的維護上,在為ERP選型時卻常常忽視安全問題。根據(jù)Onapsis小組的評估,超過95%的ERP系統(tǒng)能夠作為攻擊目標被加以利用,例如間諜式信息竊取攻擊。這一現(xiàn)象是時候引起重視了。
在Oracle公司于上個月發(fā)布的最新一輪補丁中,針對修復(fù)其JD Edwards企業(yè)資源規(guī)則(即ERP)應(yīng)用程序漏洞的有八個——這進一步突出了ERP應(yīng)用程序在安全方面常常被忽視的問題,而數(shù)據(jù)庫缺陷及其它顧慮更是為其前途蒙上了一層陰影。
盡管JDE應(yīng)用程序漏洞只占到本次補丁修復(fù)的全部78個漏洞中的很小一部分,但這些漏洞已經(jīng)表現(xiàn)出了發(fā)展成為主要攻擊載體的趨勢,并受到安全專家們?nèi)找嬖鲩L的關(guān)注。大多數(shù)企業(yè)并沒有將他們的ERP應(yīng)用程序看作網(wǎng)絡(luò)威脅的一大目標,也從未為其部署充分的安全保障體系。
ERP系統(tǒng),作為數(shù)據(jù)庫平臺上的捆綁組件,往往包含著多個其它應(yīng)用程序的接口,并運行著許多敏感的業(yè)務(wù)信息,例如財務(wù)明細、銷售情況、生產(chǎn)狀態(tài)以及支出、結(jié)算和工資等。因此如果其遭受攻擊,將會對業(yè)務(wù)流程及生產(chǎn)方面造成巨大破壞,專家如是說。
“它們正在成為攻擊目標,因為黑客們已經(jīng)逐漸意識到它們并不具備黑匣子之類的保護措施,且其中包含著最敏感的商業(yè)信息。因此,如果我們將自己設(shè)想為網(wǎng)絡(luò)罪犯,既然有能力直接接管包含目標公司珍貴數(shù)據(jù)的系統(tǒng),何必去攻擊一臺常規(guī)的Windows服務(wù)器呢?”Mariano Nunez Di Croce說道,他是Onapsis研究小組的研究及開發(fā)部門負責(zé)人,該小組發(fā)現(xiàn)了已被Oracle公司所修復(fù)的諸多JDE漏洞,而其發(fā)現(xiàn)的另外12個數(shù)據(jù)庫漏洞至今仍未得到修復(fù)。
Nunez Di Croce表示,如今各個公司都認為只需對這類應(yīng)用程序用戶進行職責(zé)劃分就能夠起到不錯的保護作用。“但是,幾乎沒人意識到這些平臺必須得到萬全的保護,否則匿名的遠程攻擊者將能夠借此侵入系統(tǒng)并使所有現(xiàn)存的安全保障投入化為烏有,”他說。
Onapsis小組的研究員Juan Pablo Perez Etchegoyen就其所發(fā)現(xiàn)的漏洞如是說:所有這些漏洞都能夠被未經(jīng)驗證的攻擊者加以利用。它們使犯罪分子得以利用JDE應(yīng)用程序進行遠程控制、獲取管理員密碼、進行拒絕服務(wù)攻擊、禁用日志記錄以掩護攻擊行為并盜取商業(yè)信息。而所謂漏洞,則包括緩沖區(qū)溢出以及遠程登錄失效漏洞。“所有這些漏洞都可被未經(jīng)驗證的攻擊者加以利用,而此類威脅從未得到供應(yīng)商的重視,”Nunez Di Croce說道。“代替合法的ERP連接,上述安全隱患可由攻擊者依個人意愿精心布置并生效。我認為在此之前供應(yīng)商們一直忽視了這個問題,而如今大家才剛剛開始將其納入議程。”
根據(jù)Onapsis小組的評估,超過95%的ERP系統(tǒng)能夠作為攻擊目標被加以利用,例如間諜式信息竊取攻擊。“而其中的大部分已經(jīng)通過了規(guī)則要求,例如SOX,PCI等等,”他說。“這絕對不是正常現(xiàn)象。”
ERP供應(yīng)商們迄今為止仍未真正關(guān)注其應(yīng)用程序的安全保障工作,主要原因是他們還沒有進行深入調(diào)研或是感受到高調(diào)的攻擊。“事實上,為軟件產(chǎn)品進行安全性強化對銷售來說沒什么好處,而為產(chǎn)品增加新功能則對營銷大有助益。因此軟件供應(yīng)商往往傾向于把重點放在添加新功能或是解決客戶已經(jīng)反饋的安全問題。除非有特殊的安全需求,否則這就是普遍意義上的現(xiàn)實,而ERP供應(yīng)商們目前還沒有在軟件安全方面受到太多質(zhì)問,也沒有遭遇過類似數(shù)據(jù)庫產(chǎn)品所面臨的大規(guī)模攻擊,例如Slammer蠕蟲,”Esteban Martinez Fayo說,他是AppSecs Team SHATTER的一位安全研究員。
同時,Oracle在上個月更新的重要補丁中所針對的漏洞使攻擊者們能夠在侵襲JDE應(yīng)用程序時得以自由發(fā)揮。“其中一個漏洞的內(nèi)容是遠程客戶端執(zhí)行,通過它我們能夠?qū)Ψ⻊?wù)器及存儲在數(shù)據(jù)庫中的信息進行破壞,”O(jiān)napsis小組的Perez Etchegoyen說道。“而另一個則允許攻擊者遠程訪問應(yīng)用程序中某些已經(jīng)設(shè)定了密碼的存儲內(nèi)容……不必通過驗證,攻擊者就能夠重新連入ERP并獲得更高的權(quán)限以進行復(fù)雜的攻擊。”
盡管Oracle公司正致力于修復(fù)存在于其JD Edwards和PeopleSoft應(yīng)用程序中的各類漏洞,AppSec的Martinez Fayo認為他們修復(fù)漏洞的步伐仍然需要加快。“在Onapsis小組發(fā)布的公告中,并不存在新型或是高端的漏洞類型,而恰恰相反,這些類型的漏洞可謂眾所周知,我認為它們真的不應(yīng)該存在于ERP系統(tǒng)這樣的產(chǎn)品當(dāng)中,”他說。
ERP應(yīng)用程序的破解也異常簡單,他說,因為安全體系在該產(chǎn)品中相當(dāng)薄弱。“最后我要說的是,ERP系統(tǒng)目前可以被看作是攻擊者入侵數(shù)據(jù)庫的另一條渠道,因此當(dāng)企業(yè)用戶遭遇ERP系統(tǒng)攻擊時,非常有可能也伴隨著數(shù)據(jù)庫受到破壞,”他如是說。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/1083952806.html