使用SAP系统用于其商业软件基础设施的公司可能希望检查其服务器的某些设置,以确定是否保留其默认状态会让***者访问公司业务数据的配置。
大多数公司似乎忘记了更改位于SAP NetWeaver中的配置,SAP NetWeaver是SAP用作构建其他软件产品(包括非常流行的SAP ERP,S / 4 HANA等)的基础的技术。
配置涉及SAP基础架构的不同部分如何相互通话,尤其涉及应用程序服务器(又称业务应用程序),SAP消息服务器和SAP*实例(公司的数据存储位置)。
SAP消息服务器的作用是在高峰时段充当中介和负载平衡公司的SAP基础架构。当公司创建新应用程序时,其系统管理员还必须将新应用程序(应用程序服务器)注册到SAP消息服务器。注册过程通过端口3900进行。
SAP消息服务器的安全功能之一是它们还支持访问控制列表(ACL),以决定谁可以访问注册端口。
自2005年以来,SAP一直在警告客户
但这是整个问题的症结所在。 SAP故意将该ACL默认禁用。原因是每家公司都不一样,并且启用它可能会使设置客户的初始业务应用程序变得非常困难。
这个问题众所周知,自2005年以来,SAP发布安全警报,警告公司不要将该特定设置保留在其默认状态,并尽快设置ACL,将3900端口的访问限制为他们信任的地址。
SAP发布了两项警报,一项是2009年的警报,另一项是2010年的警报,警告同样的事情,并提供进一步的指示。一些研究人员甚至在安全会议上提出了关于不启用ACL的问题。
90%的公司不使用这种配置
但尽管如此,Onapsis是一家以业务为中心的网络安全公司,它表示执行SAP审计的公司中有90%的ACL保持其默认状态--已停用。
该公司的专家警告说,任何恶意行为者或任何流氓员工都可以开发恶意应用程序,将其注册到公司的SAP基础架构中,然后窃取或更改内部数据。
一般建议是,公司检查上述链接的SAP安全通知和他们自己的SAP基础架构,并检查其部署的设置,以确保它们通过访问控制列表限制对SAP Message Server的注册端口的访问。