作为掌握着企业核心资源信息的ERP系统,长久以来其安全性却遭到忽视。CIO及IT经理们更多的将精力放在系统安全的维护上,在为ERP选型时却常常忽视安全问题。根据Onapsis小组的评估,超过95%的ERP系统能够作为攻击目标被加以利用,例如间谍式信息窃取攻击。这一现象是时候引起重视了。
在Oracle公司于上个月发布的最新一轮补丁中,针对修复其JD Edwards企业资源规则(即ERP)应用程序漏洞的有八个——这进一步突出了ERP应用程序在安全方面常常被忽视的问题,而数据库缺陷及其它顾虑更是为其前途蒙上了一层阴影。
尽管JDE应用程序漏洞只占到本次补丁修复的全部78个漏洞中的很小一部分,但这些漏洞已经表现出了发展成为主要攻击载体的趋势,并受到安全专家们日益增长的关注。大多数企业并没有将他们的ERP应用程序看作网络威胁的一大目标,也从未为其部署充分的安全保障体系。
ERP系统,作为数据库平台上的捆绑组件,往往包含着多个其它应用程序的接口,并运行着许多敏感的业务信息,例如财务明细、销售情况、生产状态以及支出、结算和工资等。因此如果其遭受攻击,将会对业务流程及生产方面造成巨大破坏,专家如是说。
“它们正在成为攻击目标,因为黑客们已经逐渐意识到它们并不具备黑匣子之类的保护措施,且其中包含着最敏感的商业信息。因此,如果我们将自己设想为网络罪犯,既然有能力直接接管包含目标公司珍贵数据的系统,何必去攻击一台常规的Windows服务器呢?”Mariano Nunez Di Croce说道,他是Onapsis研究小组的研究及开发部门负责人,该小组发现了已被Oracle公司所修复的诸多JDE漏洞,而其发现的另外12个数据库漏洞至今仍未得到修复。
Nunez Di Croce表示,如今各个公司都认为只需对这类应用程序用户进行职责划分就能够起到不错的保护作用。“但是,几乎没人意识到这些平台必须得到万全的保护,否则匿名的远程攻击者将能够借此侵入系统并使所有现存的安全保障投入化为乌有,”他说。
Onapsis小组的研究员Juan Pablo Perez Etchegoyen就其所发现的漏洞如是说:所有这些漏洞都能够被未经验证的攻击者加以利用。它们使犯罪分子得以利用JDE应用程序进行远程控制、获取管理员密码、进行拒绝服务攻击、禁用日志记录以掩护攻击行为并盗取商业信息。而所谓漏洞,则包括缓冲区溢出以及远程登录失效漏洞。“所有这些漏洞都可被未经验证的攻击者加以利用,而此类威胁从未得到供应商的重视,”Nunez Di Croce说道。“代替合法的ERP连接,上述安全隐患可由攻击者依个人意愿精心布置并生效。我认为在此之前供应商们一直忽视了这个问题,而如今大家才刚刚开始将其纳入议程。”
根据Onapsis小组的评估,超过95%的ERP系统能够作为攻击目标被加以利用,例如间谍式信息窃取攻击。“而其中的大部分已经通过了规则要求,例如SOX,PCI等等,”他说。“这绝对不是正常现象。”
ERP供应商们迄今为止仍未真正关注其应用程序的安全保障工作,主要原因是他们还没有进行深入调研或是感受到高调的攻击。“事实上,为软件产品进行安全性强化对销售来说没什么好处,而为产品增加新功能则对营销大有助益。因此软件供应商往往倾向于把重点放在添加新功能或是解决客户已经反馈的安全问题。除非有特殊的安全需求,否则这就是普遍意义上的现实,而ERP供应商们目前还没有在软件安全方面受到太多质问,也没有遭遇过类似数据库产品所面临的大规模攻击,例如Slammer蠕虫,”Esteban Martinez Fayo说,他是AppSecs Team SHATTER的一位安全研究员。
同时,Oracle在上个月更新的重要补丁中所针对的漏洞使攻击者们能够在侵袭JDE应用程序时得以自由发挥。“其中一个漏洞的内容是远程客户端执行,通过它我们能够对服务器及存储在数据库中的信息进行破坏,”Onapsis小组的Perez Etchegoyen说道。“而另一个则允许攻击者远程访问应用程序中某些已经设定了密码的存储内容……不必通过验证,攻击者就能够重新连入ERP并获得更高的权限以进行复杂的攻击。”
尽管Oracle公司正致力于修复存在于其JD Edwards和PeopleSoft应用程序中的各类漏洞,AppSec的Martinez Fayo认为他们修复漏洞的步伐仍然需要加快。“在Onapsis小组发布的公告中,并不存在新型或是高端的漏洞类型,而恰恰相反,这些类型的漏洞可谓众所周知,我认为它们真的不应该存在于ERP系统这样的产品当中,”他说。
ERP应用程序的破解也异常简单,他说,因为安全体系在该产品中相当薄弱。“最后我要说的是,ERP系统目前可以被看作是攻击者入侵数据库的另一条渠道,因此当企业用户遭遇ERP系统攻击时,非常有可能也伴随着数据库受到破坏,”他如是说。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:95%的ERP系统存在安全隐患
本文网址:http://www.toberp.com/html/consultation/1083952806.html
相关文章
