Lỗ hổng XSS và SQL trong phần mềm SAP HANA

Phát biểu tại hội thảo Black Hat ở Ede, Giám đốc Dịch vụ chuyên nghiệp ERPScan, đã trình bày một báo cáo trong đó ông chỉ ra chi tiết các vấn đề khác nhau liên quan đến các thuật toán mã hóa của SAP và các static key. Những vấn đề này ảnh hưởng đến các nền tảng SAP HANA và SAP Mobile, gây ra do các giải pháp thiết kế được sử dụng trong cách xây dựng các dịch vụ. Chi tiết được nêu trong bản báo cáo là vấn đề với SAP HANA, một cơ sở dữ liệu được lưu giữ trong bộ nhớ chính sử dụng cho bản thương mại mà SAP chào bán cho các doanh nghiệp từ trung bình tới lớn. Chính xác hơn, cách các khóa mặc định được sử dụng để mã hóa dữ liệu như mật khẩu, kho lưu trữ và các bản sao lưu, khiến nền tảng SAP HANA dễ bị tấn công SQL Injection. Static key có thể đưa bất cứ ai truy cập vào nội dung của toàn bộ cơ sở dữ liệu. Lỗi này đã được tìm thấy vào tháng 4/2014, hiện giờ đã được sửa chữa và gây hậu quả bởi vì cơ sở dữ liệu được lưu giữ trong bộ nhớ chính HANA SAP không có tập tính như một cơ sở dữ liệu bình thường trong bộ nhớ. “Một số dữ liệu thực sự được lưu trữ trên đĩa. Ví dụ, một số tài khoản người dùng và mật khẩu kỹ thuật cùng với các key giải mã savepoints được lưu giữ dưới tên gọi hdbuserstore. Lưu trữ này là một tập tin đơn giản trên đĩa”, Alexander Polyakov, CTO của ERPScan phát biểu. Dữ liệu nhạy cảm đã được lưu trên đĩa, những kẻ tấn công có thể dễ dàng tiếp cận và giải mã nó, tiếp cận với các thông tin nhạy cảm có thể giúp chúng xâm nhập hệ thống sau này. Thông tin này được mã hóa bằng cách sử dụng một thuật toán 3DES đơn giản với một static key, đó là cách dễ dàng để giải mã và cho phép kẻ tấn công truy cập vào mật khẩu của người sử dụng và các key mã hóa đĩa. Bản cài đặt static key của mỗi khách hàng cũng giống nhau và theo ERPScan 100% tất cả các khách hàng của SAP vẫn còn sử dụng các static key mặc định của họ khi lỗ hổng được tìm thấy.

Lỗi XSS đang lan tràn trên dịch vụ lưu trữ dữ liệu SAP HANA

Trên hết, một lỗi cross-site scripting (XSS) cũng đã được xác định trong HANA, được tìm thấy chính xác hơn trong thành phần SAP Extended Services (dịch vụ Sap mở rộng), một nền tảng JavaScript bên cạnh máy chủ được sử dụng để tương tác và truy vấn cơ sở dữ liệu HANA. Thành phần này chạy một phiên bản tùy biến của ngôn ngữ JavaScript, được gọi là XS JavaScript, hoạt động thông qua các công cụ XS, như một phần của SAP Extended Services. Những kẻ tấn công có thể sử dụng tính năng này để thực thi mã tùy ý và nhận được quyền truy cập vào cơ sở dữ liệu của hệ thống.

Softpedia