SAP 平台上的重大安全漏洞

关键要点

• 研究人员发现多个影响 SAP 企业软件解决方案的关键漏洞。
• 漏洞与远程功能调用 (RFC) 有关，其中包括四个已被披露且可以利用的漏洞。
• 建议 SAP 用户尽快更新系统以免受攻击。

在今天于欧洲网络安全会议上发表的论文中，研究员 Fabian Hagg 提到他在实验室测试中发现了多个严重漏洞，这些漏洞影响到运行在普遍使用的 SAP平台上的企业软件解决方案。Hagg 的研究主要集中在 SAP NetWeaver 应用服务器 ABAP（AS ABAP）及 ABAP平台的服务器间通信缺陷和设计缺陷。

他指出，实验室分析“产生了替代登录材料、密码学失败、内存破坏和 ABAP（高级业务应用编程）编程问题”。这些漏洞与企业软件系统中广泛使用的老牌专有接口协议
RFC 有关。其中三个漏洞可以追溯到 2021 年和 2022 年，而第四个漏洞则是在今年一月被发现。两者在 CVSS 严重性评分中被评为
9.8。虽然针对所有四个漏洞都有了补丁，但尚未修补的 SAP 软件版本仍然面临风险。

Hagg 表示，这些攻击链可能会影响到所有运行在 SAP AS ABAP 平台技术之上的企业软件解决方案。受影响的关键业务软件可能包括 SAP ERP中心组件、SAP S/4HANA、SAP BW/4HANA、SAP 商业仓库、SAP 解决方案经理、SAP 石油与天然气、SAP 公用事业、SAP供应商关系管理、SAP 人力资本管理以及 SAP 员工中央薪资。

由于所有运行应用服务器 ABAP 的系统都需要 RFC，因此它被认为是“企业关键 SAP系统环境中最吸引攻击的目标之一”，并且可能被利用以实现远程代码执行（RCE）。

研究员在德国海德尔堡举行的 Troopers 网络安全会议上分享了他的发现，相关技术 的标题为：“每个人都知道 SAP，每个人都在使用 SAP，每个人都使用 RFC，但没有人知道
RFC：16 年后的 RFC 到 RCE”。

自 2007 年 Onapsis 首席执行官 Mariano Nunez 首次在 Black Hat Europe 会议上提及 RFC漏洞以来，研究界对此一直保持关注。在 2015 年，Nunez 向 SC 媒体透露，使用管理员权限执行操作系统命令以利用 RFC 漏洞是针对 SAP专有协议的第二种最常见攻击方式，只有客户和供应商门户攻击更为常见。

Hagg 在其论文中指出：“由于其历史重要性，RFC 仍然在 SAP 系统环境中占据实质性标准的地位。”

尽管新的集成选项存在，主要集中于采用基于 REST 的数据服务（例如通过开放数据协议 OData 暴露的服务），RFC 仍然在使用。

论文中概述了四个已知和修补的与 RFC 相关的漏洞如何被威胁行为者利用以获取访问权限，实现横向移动。

“尽管识别出的漏洞位于 AS ABAP 中 RFC 接口实现的不同组件中，但它们可以组合成一个预认证 RCE 攻击链，”Hagg 写道。

攻击者可以利用越界写入漏洞（）发起攻击，准备有效载荷触发服务器端请求伪造漏洞（），该漏洞允许从目标系统未经授权地连接到攻击者控制的恶意
RFC 服务器。

“在此攻击阶段，可以将接收到的登录票据（，）部署到新创建的请求中，”论文指出。

“最终有效载荷作为 ABAP 源代码以特定的导入参数形式提供给函数调用 RS_FUNCTIONMODULE_INSERT，使得攻击者能够将新功能植入到
ABAP