作為掌握著企業(yè)核心資源信息的ERP系統(tǒng)，長(zhǎng)久以來(lái)其安全性卻遭到忽視。CIO及IT經(jīng)理們更多的將精力放在系統(tǒng)安全的維護(hù)上，在為ERP選型時(shí)卻常常忽視安全問(wèn)題。根據(jù)Onapsis小組的評(píng)估，超過(guò)95%的ERP系統(tǒng)能夠作為攻擊目標(biāo)被加以利用，例如間諜式信息竊取攻擊。這一現(xiàn)象是時(shí)候引起重視了。

    在Oracle公司于上個(gè)月發(fā)布的最新一輪補(bǔ)丁中，針對(duì)修復(fù)其JD Edwards企業(yè)資源規(guī)則(即ERP)應(yīng)用程序漏洞的有八個(gè)——這進(jìn)一步突出了ERP應(yīng)用程序在安全方面常常被忽視的問(wèn)題，而數(shù)據(jù)庫(kù)缺陷及其它顧慮更是為其前途蒙上了一層陰影。

    盡管JDE應(yīng)用程序漏洞只占到本次補(bǔ)丁修復(fù)的全部78個(gè)漏洞中的很小一部分，但這些漏洞已經(jīng)表現(xiàn)出了發(fā)展成為主要攻擊載體的趨勢(shì)，并受到安全專家們?nèi)找嬖鲩L(zhǎng)的關(guān)注。大多數(shù)企業(yè)并沒(méi)有將他們的ERP應(yīng)用程序看作網(wǎng)絡(luò)威脅的一大目標(biāo)，也從未為其部署充分的安全保障體系。

    ERP系統(tǒng)，作為數(shù)據(jù)庫(kù)平臺(tái)上的捆綁組件，往往包含著多個(gè)其它應(yīng)用程序的接口，并運(yùn)行著許多敏感的業(yè)務(wù)信息，例如財(cái)務(wù)明細(xì)、銷售情況、生產(chǎn)狀態(tài)以及支出、結(jié)算和工資等。因此如果其遭受攻擊，將會(huì)對(duì)業(yè)務(wù)流程及生產(chǎn)方面造成巨大破壞，專家如是說(shuō)。

    “它們正在成為攻擊目標(biāo)，因?yàn)楹诳蛡円呀?jīng)逐漸意識(shí)到它們并不具備黑匣子之類的保護(hù)措施，且其中包含著最敏感的商業(yè)信息。因此，如果我們將自己設(shè)想為網(wǎng)絡(luò)罪犯，既然有能力直接接管包含目標(biāo)公司珍貴數(shù)據(jù)的系統(tǒng)，何必去攻擊一臺(tái)常規(guī)的Windows服務(wù)器呢?”Mariano Nunez Di Croce說(shuō)道，他是Onapsis研究小組的研究及開(kāi)發(fā)部門負(fù)責(zé)人，該小組發(fā)現(xiàn)了已被Oracle公司所修復(fù)的諸多JDE漏洞，而其發(fā)現(xiàn)的另外12個(gè)數(shù)據(jù)庫(kù)漏洞至今仍未得到修復(fù)。

    Nunez Di Croce表示，如今各個(gè)公司都認(rèn)為只需對(duì)這類應(yīng)用程序用戶進(jìn)行職責(zé)劃分就能夠起到不錯(cuò)的保護(hù)作用。“但是，幾乎沒(méi)人意識(shí)到這些平臺(tái)必須得到萬(wàn)全的保護(hù)，否則匿名的遠(yuǎn)程攻擊者將能夠借此侵入系統(tǒng)并使所有現(xiàn)存的安全保障投入化為烏有，”他說(shuō)。

    Onapsis小組的研究員Juan Pablo Perez Etchegoyen就其所發(fā)現(xiàn)的漏洞如是說(shuō)：所有這些漏洞都能夠被未經(jīng)驗(yàn)證的攻擊者加以利用。它們使犯罪分子得以利用JDE應(yīng)用程序進(jìn)行遠(yuǎn)程控制、獲取管理員密碼、進(jìn)行拒絕服務(wù)攻擊、禁用日志記錄以掩護(hù)攻擊行為并盜取商業(yè)信息。而所謂漏洞，則包括緩沖區(qū)溢出以及遠(yuǎn)程登錄失效漏洞�！八�有這些漏洞都可被未經(jīng)驗(yàn)證的攻擊者加以利用，而此類威脅從未得到供應(yīng)商的重視，”Nunez Di Croce說(shuō)道�！按�替合法的ERP連接，上述安全隱患可由攻擊者依個(gè)人意愿精心布置并生效。我認(rèn)為在此之前供應(yīng)商們一直忽視了這個(gè)問(wèn)題，而如今大家才剛剛開(kāi)始將其納入議程�！�

    根據(jù)Onapsis小組的評(píng)估，超過(guò)95%的ERP系統(tǒng)能夠作為攻擊目標(biāo)被加以利用，例如間諜式信息竊取攻擊。“而其中的大部分已經(jīng)通過(guò)了規(guī)則要求，例如SOX，PCI等等，”他說(shuō)。“這絕對(duì)不是正�，F(xiàn)象。”

    ERP供應(yīng)商們迄今為止仍未真正關(guān)注其應(yīng)用程序的安全保障工作，主要原因是他們還沒(méi)有進(jìn)行深入調(diào)研或是感受到高調(diào)的攻擊�！笆聦�(shí)上，為軟件產(chǎn)品進(jìn)行安全性強(qiáng)化對(duì)銷售來(lái)說(shuō)沒(méi)什么好處，而為產(chǎn)品增加新功能則對(duì)營(yíng)銷大有助益。因此軟件供應(yīng)商往往傾向于把重點(diǎn)放在添加新功能或是解決客戶已經(jīng)反饋的安全問(wèn)題。除非有特殊的安全需求，否則這就是普遍意義上的現(xiàn)實(shí)，而ERP供應(yīng)商們目前還沒(méi)有在軟件安全方面受到太多質(zhì)問(wèn)，也沒(méi)有遭遇過(guò)類似數(shù)據(jù)庫(kù)產(chǎn)品所面臨的大規(guī)模攻擊，例如Slammer蠕蟲(chóng)，”Esteban Martinez Fayo說(shuō)，他是AppSecs Team SHATTER的一位安全研究員。

    同時(shí)，Oracle在上個(gè)月更新的重要補(bǔ)丁中所針對(duì)的漏洞使攻擊者們能夠在侵襲JDE應(yīng)用程序時(shí)得以自由發(fā)揮。“其中一個(gè)漏洞的內(nèi)容是遠(yuǎn)程客戶端執(zhí)行，通過(guò)它我們能夠?qū)Ψ��?wù)器及存儲(chǔ)在數(shù)據(jù)庫(kù)中的信息進(jìn)行破壞，”O(jiān)napsis小組的Perez Etchegoyen說(shuō)道�！岸�另一個(gè)則允許攻擊者遠(yuǎn)程訪問(wèn)應(yīng)用程序中某些已經(jīng)設(shè)定了密碼的存儲(chǔ)內(nèi)容……不必通過(guò)驗(yàn)證，攻擊者就能夠重新連入ERP并獲得更高的權(quán)限以進(jìn)行復(fù)雜的攻擊。”

    盡管Oracle公司正致力于修復(fù)存在于其JD Edwards和PeopleSoft應(yīng)用程序中的各類漏洞，AppSec的Martinez Fayo認(rèn)為他們修復(fù)漏洞的步伐仍然需要加快�！霸贠napsis小組發(fā)布的公告中，并不存在新型或是高端的漏洞類型，而恰恰相反，這些類型的漏洞可謂眾所周知，我認(rèn)為它們真的不應(yīng)該存在于ERP系統(tǒng)這樣的產(chǎn)品當(dāng)中，”他說(shuō)。

    ERP應(yīng)用程序的破解也異常簡(jiǎn)單，他說(shuō)，因?yàn)榘踩�體系在該產(chǎn)品中相當(dāng)薄弱�！白詈笪乙�說(shuō)的是，ERP系統(tǒng)目前可以被看作是攻擊者入侵?jǐn)?shù)據(jù)庫(kù)的另一條渠道，因此當(dāng)企業(yè)用戶遭遇ERP系統(tǒng)攻擊時(shí)，非常有可能也伴隨著數(shù)據(jù)庫(kù)受到破壞，”他如是說(shuō)。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：95%的ERP系統(tǒng)存在安全隱患

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083952806.html