หน่วยงานความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA) ของสหรัฐอเมริกาออกมาแจ้งเตือนให้ผู้ใช้งานตรวจสอบการตั้งค่าที่ไม่ปลอดภัยบนอุปกรณ์ หรือระบบ SAP ของตนเอง ซึ่งอาจถูกใช้เป็นช่องทางในการโจมตีของผู้ไม่หวังดี
ในงานสัมมนาด้านความปลอดภัยทางไซเบอร์ Operation for Community Development and Empowerment (OPCDE) เมื่อเดือนเมษายนที่ผ่านมา ได้มีการนำเสนอปัญหาการตั้งค่าที่ไม่ปลอดภัยบน SAP ที่เปิดให้สามารถเข้าถึงจากภายนอกได้ อาจจส่งผลให้ผู้ไม่หวังดีสามารถใช้เป็นช่องทางในการโจมตีผ่านการใช้เครื่องมือที่ชื่อว่า "10KBLAZE"
โดยมีส่วนที่ควรต้องตรวจสอบ ดังต่อไปนี้
SAP Gateway ACL
SAP Gateway เป็นส่วนที่อนุญาตให้แอปพลิเคชันที่ไม่ใช่ SAP สื่อสารกับแอปพลิเคชัน SAP ได้ โดยจะมีการตั้งค่า Access Control Lists (ACLs) เป็นตัวควบคุม แต่ถ้าหากมีการตั้งค่าที่ไม่เหมาะสม เช่น gw/acl_mode = 0 จะส่งผลให้ผู้ใช้งานที่ไม่ระบุตัวตน (Anonymous) สามารถสั่งรันคำสั่งระดับระบบปฏิบัติการ (OS) ได้ พบว่ามีระบบ SAP ประมาณ 900 รายการ ในสหรัฐอเมริกา ที่มีการตั้งค่าไม่เหมาะสมและสามารถเข้าถึงได้จากภายนอก
SAP Router secinfo
SAP Router เป็นโปรแกรมที่ช่วยเชื่อมต่อระบบ SAP กับเครือข่ายภายนอก โดยเริ่มต้นจะมีการกำหนดค่าตัวแปร "secinfo" ของ SAP Gateway อนุญาตให้โฮสต์ภายในสามารถสั่งรันคำสั่ง OS โดยไม่ต้องระบุตัวตน (Anonymous) ดังนั้นถ้าหากผู้โจมตีสามารถเข้าถึง SAP Router ที่มีใช้งานการกำหนดค่าแบบเริ่มต้นได้ จะส่งผลให้ผู้ไม่หวังดีสามารถใช้ router เพื่อทำหน้าที่เป็นโฮสต์ภายในและ Proxy เพื่อส่งคำสั่งที่เป็นอันตรายได้ (remote code execution) พบว่ามี SAP Router ประมาณ 1,811 รายการในสหรัฐอเมริกาที่สามารถเชื่อมต่อกับภาย เสี่ยงต่อการถูกโจมตี
SAP Message Server
SAP Message Server จะทำหน้าที่เป็นตัวกลางระหว่าง Application Servers (AS) โดยการตั้งค่าเริ่มต้นจะกำหนดให้มีการเปิด Port 39xx เอาไว้ และไม่มีการตรวจสอบสิทธิ์ (authentication) เพื่อใช้งาน ดังนั้นหากผู้ไม่หวังดีสามารถเข้าถึง Message Server ได้ จะส่งผลให้สามารถเปลี่ยนเส้นทาง และ/หรือทำตัวเป็น Man-in-the-middle (MITM) เพื่อดักการส่งข้อมูล และขโมยข้อมูลสำคัญ (credentials) เพื่อนำไปใช้ในการเข้าถึง Application Servers (AS) และสั่งรันคำสั่งที่เป็นอันตรายได้ พบว่ามี Message Server ประมาณ 693 รายการในสหรัฐอเมริกาที่สามารถเข้าถึงได้จากภายนอก และเสี่ยงต่อการถูกโจมตี ทั้งนี้ผู้ใช้งานที่มีการใช้งาน IPS หรือ IDS สามารถใช้ Snort signature ที่มีมาให้ในลิงก์ที่มาเพื่อช่วยในการตรวจจับหรือป้องกันได้
CISA แนะนำให้ผู้ดูแลระบบ SAP ดำเนินการดังต่อไปนี้ เพื่อลดความเสี่ยงที่ระบบของตนเองอาจตกเป็นเหยื่อจากการโจมตี
- ตรวจสอบระบบของตนเอง เพื่อให้แน่ใจว่าการกำหนดค่านั้นมีความปลอดภัยเพียงพอแล้วหรือยัง
- จำกัดการเข้าถึง SAP Message Server โดย:
1. กำหนดค่า ACL ให้เฉพาะผู้ที่มีสิทธิ์เข้าถึงบน Gateways (gw/acl_mode และ secinfo) และ Message Server (ms/acl_info) สามารถศึกษาได้จาก SAP Notes 1408081 และ 821875
2. แยก Message Server Internal และ Public (rdisp/msserv=0 rdisp/msserv_internal=39NN) สามารถศึกษาได้จาก SAP Note 1421005
3. จำกัดการเข้าถึงพอร์ตภายในของ Message Server (tcp / 39NN) สำหรับผู้ใช้งานหรือจากภายนอก
- เปิดใช้งาน Secure Network Communications (SNC) สำหรับผู้ใช้งาน
* ตรวจสอบให้แน่ใจว่าระบบ SAP ในองค์กร ไม่ว่าจะเป็นส่วนใดก็ตาม ไม่ควรที่จะสามารถเข้าถึงได้จากภายนอก
ที่มา: www.
