Название базовой системы (платформы): | SAP Business Suite |
Разработчики: | SAP SE |
Дата последнего релиза: | 2018/10/05 |
Технологии: | СОА |
Содержание |
SAP NetWeaver - интеграционная и прикладная платформа компании SAP AG, техническая основа комплекса решений «Управление современным предприятием» (SAP Business Suite), композитных приложений SAP xApps, партнерских решений и приложений, разрабатываемых клиентами компании. Она реализует архитектуру сервисов предприятия (Enterprise Services Architecture) – концепцию SAP по построению бизнес-приложений на основе сервисов.
История
2020: Продукты Контура прошли программу сертификации интеграции с SAP NetWeaver
Продукты Контура прошли программу сертификации интеграции с SAP NetWeaver — платформой, на которой строятся комплексные решения для бизнеса. Интеграционный комплекс Контур.ERP объединяет бухучет, управление производством и электронный документооборот. Решение, сертифицированное на совместимость с SAP NetWeaver, соответствует отечественному законодательству, подходит российским и международным компаниям, которые ведут бизнес в России. Подробнее здесь.
2018
Интеграция с продуктами Рутокен ЭЦП
26 ноября 2018 года компания «Актив» сообщила, что совместно с SAP CIS завершили тестирование, подтвердившее совместимость продуктов Рутокен ЭЦП с системами SAP. Подробнее здесь.
Уязвимости SAP NetWeaver
5 октября 2018 года компания Positive Technologies сообщила о том, что специалисты компании обнаружили и помогли закрыть уязвимости в продуктах SAP для корпоративного хранения данных и автоматизации бизнес-процессов.
Ошибки позволяют похищать пароли и идентификаторы сессий пользователей, атаковать внутренние сервисы, выполнять вредоносные действия в приложении от имени атакуемого. Первые две уязвимости относятся к типу XSS (межсайтовое выполнение сценариев). Более опасная из них (CVE-2017-16685) выявлена в компоненте хранилища данных SAP Business Warehouse Universal Data Integration, она получила оценку 6,9 балла и присутствует в версиях 7.50 и ниже. Вторая уязвимость найдена в SAP NetWeaver Development Infrastructure Cockpit, получила оценку 5,4 и описана в уведомлении о безопасности (SAP Security Note) под номером 2444673.
«Обе уязвимости вызваны отсутствием должной фильтрации значений параметров пользовательского запроса к серверу, которое позволяет атакующему выполнить произвольный код JavaScript в браузере пользователя. Злоумышленнику достаточно отправить своей жертве специально сформированную ссылку (как в случае CVE-2017-16685) или, обладая правами авторизованного пользователя, добавить вредоносный код на страницу приложения (Security Note 2444673). Это может привести к хищению идентификатора сессии пользователя или выполнению любого действия в приложении от имени атакуемого». |
Также специалисты Positive Technologies обнаружили уязвимость CVE-2017-16678 (6,6 балла) в SAP NetWeaver Knowledge Management Configuration Service — приложении SAP, отвечающем за конфигурацию системы. Уязвимость класса Server-Side Request Forgery (SSRF) позволяет авторизованному в приложении злоумышленнику атаковать различные сервисы, находящиеся во внешних или внутренних сетях, вынуждая сервер, на котором находится уязвимое приложение SAP, отправлять произвольные вредоносные HTTP-запросы на соответствующие узлы сети. Эксплуатация уязвимости возможна и от лица легитимного пользователя, если тот, будучи авторизованным в приложении, зайдет на подконтрольную злоумышленнику страницу — в данном сценарии может дополнительно использоваться подделка межсайтового запроса (Cross Site Request Forgery). Ошибки обнаружены в компонентах EPBC и EPBC2 в версиях с 7.00 по 7.02, а также KMC-BC версий 7.30, 7.31, 7.40 и 7.50.Витрина данных НОТА ВИЗОР для налогового мониторинга
Помимо этого, в приложении SAP NetWeaver System Landscape Directory, которое служит для хранения данных об аппаратных и программных компонентах, была выявлена уязвимость раскрытия информации (описана в Security Note под номером 2527770, оценка 4,3). Она позволяет атакующему с помощью сканирования портов получить информацию о внутренней сети, в которой находится сервер.
Позднее компания SAP также устранила уязвимости CVE-2018-2401 и CVE-2018-2366, найденные экспертами Positive Technologies в SAP Business Process Automation (BPA) By Redwood — платформе, предназначенной для автоматизации бизнес-процессов предприятия.
Дефект CVE-2018-2401 (оценка 5,4 балла) обнаружен в версии 9.0 в SAP BPA. Он позволяет авторизованному в системе пользователю читать любые файлы сервера, используя недостаток обработки XML-документов пользователя, что приводит к атаке внедрения внешних сущностей (XML External Entity). Для эксплуатации уязвимости злоумышленник может передать на сервер специально сформированный XML-документ, что спровоцирует ошибку, в тексте которой будет находиться содержание файла сервера. Вторая уязвимость в SAP BPA относится к типу «Обход каталога» (Directory Traversal, CVE-2018-2366), она получила оценку 4,3 балла. Ей подвержены версии 9.0 и 9.1. Причиной возникновения этого недостатка послужил неверный парсинг строки запроса на стороне сервера, что позволяет читать локальные файлы сервера, включая системные. Чтение файлов может привести к перехвату чувствительных данных пользователей, например их паролей или конфигурационных файлов, что далее может привести к обходу системы защиты.
Как отметили в компании SAP CIS перечисленные уязвимости, обнаруженные специалистами Positive Technologies, были устранены в период с сентября 2017 года по март 2018 года.
2017: Уязвимости SAP NetWeaver
24 апреля 2017 года компания Positive Technologies сообщила о выявлении уязвимостей в технологии SAP NetWeaver 7.31. Пользователям платформы предложено установить обновления безопасности.
Эксперты выявили уязвимости в программных компонентах SAP Enterprise Portal Navigation, SAP NetWeaver Log Viewer и SAP Enterprise Portal Theme Editor, входящих в состав платформы SAP NetWeaver. Недостатки безопасности позволяют атакующим выполнить перехват учетных данных для входа, зарегистрировать нажатия клавиш, подменить данные и выполнять другие нелегитимные действия, вплоть до полной компрометации системы.
В исследовании приняли участие специалисты компании Юрий Алейнов, Егор Димитренко, Роман Понеев и Михаил Ключников. Четыре уязвимости межсайтового выполнения сценариев (Cross-Site Scripting, XSS) обнаружены в компонентах корпоративного веб-портала SAP Enterprise Portal — SAP Enterprise Portal Navigation (оценка 6.1 по шкале CVSSv3) и SAP Enterprise Portal Theme Editor (три бреши с оценками 5.4, 6.1 и 6.1 по шкале CVSSv3).
Эксплуатируя уязвимости злоумышленник может получить доступ к токенам сессии жертвы, учетным данным для входа и другой конфиденциальной информации в браузере, выполнить различные действия от имени пользователя, изменить содержимое HTML-страницы, перехватить нажатия клавиш. Рекомендации по устранению этих недостатков описаны в уведомлениях о безопасности (SAP Security note) под номерами 2369469, 2372183, 2372204 и 2377626.
Крупнейшие компании мира используют SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимоотношением с поставщиками и клиентами, ресурсами предприятий, поставками и другими критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации играет огромное значение, а нарушение конфиденциальности таких данных может привести к катастрофическим последствиям для бизнеса. Дмитрий Гуцко, руководитель отдела безопасности бизнес-систем Positive Technologies |
Уязвимость обхода каталога (Directory Traversal, оценка 5.9 по шкале CVSSv3) — позволяет загрузить произвольные файлы в компоненте SAP NetWeaver Log Viewer. При загрузке некорректно сформированного архива, содержащего файлы со специальными символами в названии, и его последующей распаковке, веб-приложение распознает символы «.» и «/» как часть корректного пути файла, что позволяет злоумышленникам эксплуатировать уязвимость обхода каталога и загружать файлы в любое место файловой системы сервера.
Последствия загрузки произвольных файлов могут повлечь за собой компрометацию системы, чрезмерную нагрузку на файловую систему или базу данных, распространение атаки на серверные системы и подмену данных (defacement). Степень воздействия этой уязвимости высока, поскольку произвольный код может выполняться в контексте сервера. Действия, позволяющие устранить этот недостаток, описаны в уведомлении о безопасности SAP под номером 2370876.
Все перечисленные уязвимости были закрыты в рамках Security Patch Day в январе 2017 года. Спасибо коллегам за проделанную работу. Она еще раз напоминает владельцам систем о необходимости своевременно обновлять версии программных продуктов, отслеживать публикацию SAP Note по безопасности и устанавливать патчи, описанные в них. |
2016: Уязвимости SAP NetWeaver
20 июня 2016 года свет увидело исследование компании Digital Security, которое выявило многочисленные уязвимости в SAP NetWeaver компании SAP. ПО - техническая основа для всех приложений SAP Business Suite. Продукты на платформе SAP NW используют тысячи компаний в мире, в том числе – в России и СНГ.
Автор работы Ваагн Вардянян, эксперт департамента аудита безопасности SAP в компании Digital Security. Сканирование проводилось по 7348 SAP-серверам, доступным через Интернет. На сервере, где проводилось исследование, установлено около 1400 компонентов (приложений).
Эксплуатация уязвимостей
В ходе анализа безопасности SAP NetWeaver было обнаружено множество уязвимостей, включая уязвимость разглашения информации, SQL injection, ошибку хеширования паролей. Совместное использование этих проблем безопасности в некоторых случаях дает возможность получить сначала логины пользователей, потом зашифрованные пароли, далее, вследствие неправильной реализации хеширования, – завладеть паролем любого пользователя SAP JAVA.
Если злоумышленник обнаружит одну или несколько из перечисленных уязвимостей, последствия могут быть разными. К примеру, используя только багу разглашения логинов пользователей, он может получить логины пользователей и открыть портал по адресу /irj/portal. Далее, если он начнет вводить неправильные пароли к логинам, после 3-5 попыток будут заблокированы все учетные записи, и бизнес-процессы атакуемой компании просто остановятся, пока администраторы не разблокируют их в ручном режиме.
Другой вектор атак может быть связан с SQL injection. Используя эту уязвимость, злоумышленник может отправить 3-10 веб-запросов на сервер SAP NW JAVA и запросить от базы большой объем данных. Далее, БД задействует все ресурсы сервера для удовлетворения запроса атакующего, при этом сервер перестанет отвечать на все легитимные запросы от сотрудников SAP. И перед нами – классическая картина DoS. Кроме того, злоумышленник может просто получить любые данные, включая критичные, из БД SAP NW JAVA без организации DoS-атаки.
Эксплуатация SQL injection позволит получить хэш пользователей. А если будет задействована и уязвимость, связанная с ошибкой хеширования паролей, представляется возможность «в один клик» завладеть паролем администратора или бухгалтера, похитить денежные средства со счетов компании и перевести их в какой-либо банк, а также получить полную базу пользователей, доступ к персональной информации с возможностью последующей продажи.
Исследование показало, что уязвимости разглашения информации подвержено около 1013 серверов (~14% от общего числа отсканированных серверов, 7348).
Диаграмма доступности портов, (2016)
Красноречиво выглядит статистика доступности сервлета, в котором может содержаться уязвимость SQL injection: 2174 серверов (т.е. ~30% от общего числа отсканированных серверов, 7348).
Диаграмма доступности сервлета, (2016)
Исследователь Digital Security уведомил компанию SAP о найденных уязвимостях, вендор оперативно выпустил патчи и рекомендовал пользователям обновить софт. Некоторым из обнаруженных проблем безопасности был присвоен критичный уровень риска (9.1/10, по классификации SAP).
2010
NetWeaver 7.3
По сообщению представителей SAP, в 2010 году будет выпущена версия платформы — NetWeaver 7.3, для которой обещана значительно улучшенная поддержка Java, в том числе сертификация на соответствие Java EE5, а также расширенная поддержка веб-сервисов, дополненные возможности управления идентификацией и различные усовершенствования в области обеспечения продуктивности работы пользователей, в том числе корпоративные «рабочие пространства».[1]
Как указывают в SAP, в дальнейшем платформа будет задействована в трех ключевых технологических стратегиях компании: в сфере мобильных приложений, облачного ПО и вычислений в оперативной памяти. NetWeaver планируется интегрировать с платформой мобильных приложений, полученной с покупкой Sybase. На основе NetWeaver также разрабатывается проект шлюза Gateway, который позволит осуществлять доступ к данным систем SAP с помощью различных устройств и приложений. Кроме того, к платформе будет присоединен механизм вычислений в оперативной памяти, используемый в анонсированной ранее серии аналитических серверов SAP. В стратегии облачных платформ SAP платформа будет использоваться для обеспечения возможностей управления и разработки.
Отметим, что по мнению некоторых наблюдателей, NetWeaver в последнее время развивается не настолько активно, как конкурентные стеки связующего ПО корпораций Oracle и IBM. В результате появились слухи, что SAP рано или поздно купит крупного производителя связующего ПО наподобие TIBCO или Software AG.
Поддерживаемые стандарты
На май 2010 года платформа SAP NetWeaver поддерживает интернет-стандарты, такие как HTTP, XML и Web-сервисы. Тем самым обеспечивается открытость и совместимость со средами Microsoft .NET и Java 2 Platform Enterprise Edition (J2EE), например, IBM WebSphere.
Компоненты и инструменты SAP NetWeaver
(Данные актуальны на май 2010 года)
Компоненты
- «Бизнес-аналитика» (SAP Business Intelligence)
- «Портал предприятия» (SAP Enterprise Portal)
- Инфраструктура обмена «SAP Exchange Infrastructure (SAP XI)»
- «Управление основными данными» (SAP Master Data Management)
- «Мобильная инфраструктура» (SAP Mobile Infrastructure)
- Инфраструктура SAP Auto-ID Infrastructure
- Сервер Web-приложений SAP (SAP Web Application Server)
Инструменты
- «Архитектура композитных приложений» (SAP Composite Application Framework)
- Среда разработки SAP NetWeaver Developer Studio
- Платформа SAP Solution Manager
Дополнительные решения
- Архивация и управление документами и данными SAP.
Примечания
Подрядчики-лидеры по количеству проектов
Datareon (Датареон) (272)
Axelot (Акселот) (147)
Неофлекс (Neoflex) (41)
Диасофт (Diasoft) (39)
IFS Russia & CIS (ИФС Регион РУ) (21)
Другие (253)
Datareon (Датареон) (37)
Axelot (Акселот) (25)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (1)
Неофлекс (Neoflex) (1)
Другие (13)
Datareon (Датареон) (41)
Axelot (Акселот) (32)
EKassir (Екассир - Банковские Системы) (2)
Ред Софт (Red Soft) (2)
Софрос (Sofros) (2)
Другие (2)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Datareon (Датареон) (1, 418)
IBM (5, 50)
IFS (1, 46)
Диасофт (Diasoft) (7, 38)
Неофлекс (Neoflex) (3, 25)
Другие (142, 169)
Datareon (Датареон) (1, 60)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
EKassir (Екассир - Банковские Системы) (1, 2)
Корпорация Галактика (1, 1)
Неофлекс (Neoflex) (1, 1)
Другие (7, 7)
Datareon (Датареон) (1, 71)
EKassir (Екассир - Банковские Системы) (1, 2)
Ред Софт (Red Soft) (1, 2)
RockITSoft, Рокитсофт (ранее Croc Code, Крок Регион) (1, 1)
К2 Тех (1, 1)
Другие (1, 1)
Datareon (Датареон) (1, 57)
Первый Бит (1, 2)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 2)
Высокие цифровые технологии, ВЦТ (HD Tech) (1, 1)
Другие (0, 0)
Datareon (Датареон) (1, 30)
СИГМА (Санкт-Петербург) (2, 1)
Технологии Будущего (1, 1)
IBS (1, 1)
Мобильные ТелеСистемы (МТС) (1, 1)
Другие (4, 4)
Распределение систем по количеству проектов, не включая партнерские решения
Datareon Platform - 418
IFS Applications - 46
Flextera - 31
IBM WebSphere - 26
Neoflex Adapters - 21
Другие 204
Datareon Platform - 60
FIS Platform - 4
EKassir Адаптер для Системы быстрых платежей (СБП) - 2
Neti: Интеграционный модуль Microsoft Dynamics AX-1С - 1
Платформа WINGS - 1
Другие 7
Datareon Platform - 71
Ред-Шлюз - 2
EKassir Адаптер для Системы быстрых платежей (СБП) - 2
Инполюс: Polus ESB - 1
К2Тех: Roc Integration ESB (ранее Croc Integration Platform, CIP) - 1
Другие 0
Datareon Platform - 57
FIS Platform - 2
БИТ.Адаптер - 2
HD Tech: Marlin Микросервисная платформа для разработчиков - 1
Другие 0
Datareon Platform - 30
МТС Integration Platform - 1
БИТ.Адаптер - 1
IBS Планета OLAP-платформа - 1
Сигма.ИВК - 1
Другие 4