作為掌握著企業(yè)核心資源信息的ERP系統(tǒng),長久以來其安全性卻遭到忽視。CIO及IT經(jīng)理們更多的將精力放在系統(tǒng)安全的維護(hù)上,在為ERP選型時(shí)卻常常忽視安全問題。根據(jù)Onapsis小組的評(píng)估,超過95%的ERP系統(tǒng)能夠作為攻擊目標(biāo)被加以利用,例如間諜式信息竊取攻擊。這一現(xiàn)象是時(shí)候引起重視了。
在Oracle公司于上個(gè)月發(fā)布的最新一輪補(bǔ)丁中,針對(duì)修復(fù)其JD Edwards企業(yè)資源規(guī)則(即ERP)應(yīng)用程序漏洞的有八個(gè)——這進(jìn)一步突出了ERP應(yīng)用程序在安全方面常常被忽視的問題,而數(shù)據(jù)庫缺陷及其它顧慮更是為其前途蒙上了一層陰影。
盡管JDE應(yīng)用程序漏洞只占到本次補(bǔ)丁修復(fù)的全部78個(gè)漏洞中的很小一部分,但這些漏洞已經(jīng)表現(xiàn)出了發(fā)展成為主要攻擊載體的趨勢(shì),并受到安全專家們?nèi)找嬖鲩L的關(guān)注。大多數(shù)企業(yè)并沒有將他們的ERP應(yīng)用程序看作網(wǎng)絡(luò)威脅的一大目標(biāo),也從未為其部署充分的安全保障體系。
ERP系統(tǒng),作為數(shù)據(jù)庫平臺(tái)上的捆綁組件,往往包含著多個(gè)其它應(yīng)用程序的接口,并運(yùn)行著許多敏感的業(yè)務(wù)信息,例如財(cái)務(wù)明細(xì)、銷售情況、生產(chǎn)狀態(tài)以及支出、結(jié)算和工資等。因此如果其遭受攻擊,將會(huì)對(duì)業(yè)務(wù)流程及生產(chǎn)方面造成巨大破壞,專家如是說。
“它們正在成為攻擊目標(biāo),因?yàn)楹诳蛡円呀?jīng)逐漸意識(shí)到它們并不具備黑匣子之類的保護(hù)措施,且其中包含著最敏感的商業(yè)信息。因此,如果我們將自己設(shè)想為網(wǎng)絡(luò)罪犯,既然有能力直接接管包含目標(biāo)公司珍貴數(shù)據(jù)的系統(tǒng),何必去攻擊一臺(tái)常規(guī)的Windows服務(wù)器呢?”Mariano Nunez Di Croce說道,他是Onapsis研究小組的研究及開發(fā)部門負(fù)責(zé)人,該小組發(fā)現(xiàn)了已被Oracle公司所修復(fù)的諸多JDE漏洞,而其發(fā)現(xiàn)的另外12個(gè)數(shù)據(jù)庫漏洞至今仍未得到修復(fù)。
Nunez Di Croce表示,如今各個(gè)公司都認(rèn)為只需對(duì)這類應(yīng)用程序用戶進(jìn)行職責(zé)劃分就能夠起到不錯(cuò)的保護(hù)作用!暗,幾乎沒人意識(shí)到這些平臺(tái)必須得到萬全的保護(hù),否則匿名的遠(yuǎn)程攻擊者將能夠借此侵入系統(tǒng)并使所有現(xiàn)存的安全保障投入化為烏有,”他說。
Onapsis小組的研究員Juan Pablo Perez Etchegoyen就其所發(fā)現(xiàn)的漏洞如是說:所有這些漏洞都能夠被未經(jīng)驗(yàn)證的攻擊者加以利用。它們使犯罪分子得以利用JDE應(yīng)用程序進(jìn)行遠(yuǎn)程控制、獲取管理員密碼、進(jìn)行拒絕服務(wù)攻擊、禁用日志記錄以掩護(hù)攻擊行為并盜取商業(yè)信息。而所謂漏洞,則包括緩沖區(qū)溢出以及遠(yuǎn)程登錄失效漏洞!八羞@些漏洞都可被未經(jīng)驗(yàn)證的攻擊者加以利用,而此類威脅從未得到供應(yīng)商的重視,”Nunez Di Croce說道。“代替合法的ERP連接,上述安全隱患可由攻擊者依個(gè)人意愿精心布置并生效。我認(rèn)為在此之前供應(yīng)商們一直忽視了這個(gè)問題,而如今大家才剛剛開始將其納入議程!
根據(jù)Onapsis小組的評(píng)估,超過95%的ERP系統(tǒng)能夠作為攻擊目標(biāo)被加以利用,例如間諜式信息竊取攻擊!岸渲械拇蟛糠忠呀(jīng)通過了規(guī)則要求,例如SOX,PCI等等,”他說!斑@絕對(duì)不是正,F(xiàn)象!
ERP供應(yīng)商們迄今為止仍未真正關(guān)注其應(yīng)用程序的安全保障工作,主要原因是他們還沒有進(jìn)行深入調(diào)研或是感受到高調(diào)的攻擊!笆聦(shí)上,為軟件產(chǎn)品進(jìn)行安全性強(qiáng)化對(duì)銷售來說沒什么好處,而為產(chǎn)品增加新功能則對(duì)營銷大有助益。因此軟件供應(yīng)商往往傾向于把重點(diǎn)放在添加新功能或是解決客戶已經(jīng)反饋的安全問題。除非有特殊的安全需求,否則這就是普遍意義上的現(xiàn)實(shí),而ERP供應(yīng)商們目前還沒有在軟件安全方面受到太多質(zhì)問,也沒有遭遇過類似數(shù)據(jù)庫產(chǎn)品所面臨的大規(guī)模攻擊,例如Slammer蠕蟲,”Esteban Martinez Fayo說,他是AppSecs Team SHATTER的一位安全研究員。
同時(shí),Oracle在上個(gè)月更新的重要補(bǔ)丁中所針對(duì)的漏洞使攻擊者們能夠在侵襲JDE應(yīng)用程序時(shí)得以自由發(fā)揮。“其中一個(gè)漏洞的內(nèi)容是遠(yuǎn)程客戶端執(zhí)行,通過它我們能夠?qū)Ψ⻊?wù)器及存儲(chǔ)在數(shù)據(jù)庫中的信息進(jìn)行破壞,”O(jiān)napsis小組的Perez Etchegoyen說道!岸硪粋(gè)則允許攻擊者遠(yuǎn)程訪問應(yīng)用程序中某些已經(jīng)設(shè)定了密碼的存儲(chǔ)內(nèi)容……不必通過驗(yàn)證,攻擊者就能夠重新連入ERP并獲得更高的權(quán)限以進(jìn)行復(fù)雜的攻擊!
盡管Oracle公司正致力于修復(fù)存在于其JD Edwards和PeopleSoft應(yīng)用程序中的各類漏洞,AppSec的Martinez Fayo認(rèn)為他們修復(fù)漏洞的步伐仍然需要加快!霸贠napsis小組發(fā)布的公告中,并不存在新型或是高端的漏洞類型,而恰恰相反,這些類型的漏洞可謂眾所周知,我認(rèn)為它們真的不應(yīng)該存在于ERP系統(tǒng)這樣的產(chǎn)品當(dāng)中,”他說。
ERP應(yīng)用程序的破解也異常簡單,他說,因?yàn)榘踩w系在該產(chǎn)品中相當(dāng)薄弱!白詈笪乙f的是,ERP系統(tǒng)目前可以被看作是攻擊者入侵?jǐn)?shù)據(jù)庫的另一條渠道,因此當(dāng)企業(yè)用戶遭遇ERP系統(tǒng)攻擊時(shí),非常有可能也伴隨著數(shù)據(jù)庫受到破壞,”他如是說。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:95%的ERP系統(tǒng)存在安全隱患
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083952806.html