Afaria是德國SAP軟件公司開發的一個移動設備管理(MDM)解決方案,是目前市場上最為流行的MDM解決方案,大約有6300個企業用它管理著1億300萬的移動設備。
ERPScan是專門負責保護SAP和Oracle重要ERP系統的安全公司,其安全人員卻在SAP的Afaria上發現了一系列嚴重漏洞,他們原計劃是在3月底的Black Hat會議(亞洲)上披露這些問題的,但SAP沒有及時發布補丁,所以原計劃的披露演講也就推遲了。直至周四亞特蘭大舉行的 Hacker Halted會議上才公布漏洞的相關細節。
漏洞一:權限繞過漏洞
其中ERPScan報道并認定的最為嚴重的漏洞是權限繞過漏洞,攻擊者可以利用SAP Afaria中的漏洞控制用戶的手機。
Afaria允許管理員通過向其管理的移動設備上發送一條SMS消息,然后便可遠程執行多種操作,可以刪除設備、鎖住設備、使WiFi不可用等。
攻擊者首先會偽造一個身份驗證字符的SHA256哈希值,然后再向受害者手機上發送惡意管理員信息。但攻擊者要發送惡意管理員信息時需要具備兩個條件:1,受害者手機號;2,國際移動終端設備標識碼(IMEI)。
ERPScan技術總監Alexander Polyakov指出,外部攻擊者可以通過社工的方式或者從目標公司網上獲得受害者的手機號。至于IMEI則有點難得到,可以先在目標公司附近的某處嗅探其GSM流量。如果是內部的攻擊者則就簡單的多了,企業內部入口處就能查到很多手機號碼。
“通常,公司購買的移動設備都會批量購買,所以IMEI都比較相似,只有個別字符不一樣。所以只要知道一個人的IMEI,就可以順著猜出其他人的IMEI,進而可以向公司的多名員工發送管理員信息。”
該問題在3月12日就報告給了SAP,但SAP在2個月之后才給予修復。
漏洞二:存儲型xss
另外一個比較嚴重的漏洞是存儲型XSS漏洞,可影響產品的管理操作臺。攻擊者可以遠程在操作臺上注入惡意javascript代碼,管理員只要登陸,該代碼就會被執行。
從理論上來說,攻擊者可以利用該漏洞控制所有的移動設備,并發送惡意程序。
如果攻擊者入侵了MDM被攻擊者入侵,那么受害者的移動設備則會被完全掌控,而且還可以提升自身的權限,訪問存儲著重要數據的企業系統。
存儲型XSS漏洞在2月份報告給SAP公司,8月才給予修復。
其他漏洞
除了這兩個漏洞之外,ERPScan還發現了數個緩沖區溢出漏洞、錯誤授權問題、硬編碼加密密鑰問題。