SAP NetWeaver

SAP NetWeaver - интеграционная и прикладная платформа компании SAP AG, техническая основа комплекса решений «Управление современным предприятием» (SAP Business Suite), композитных приложений SAP xApps, партнерских решений и приложений, разрабатываемых клиентами компании. Она реализует архитектуру сервисов предприятия (Enterprise Services Architecture) – концепцию SAP по построению бизнес-приложений на основе сервисов.

История

2025: ФСТЭК предупредила о критической уязвимости в средстве разработки для SAP. Под угрозой «Сургутнефтегаз», «Газпром» и «Роснефть»

В середине января ФСТЭК предупредила об обнаружении критической уязвимости BDU:2025-00254^[1] в программном обеспечении для разработки и выполнения приложений на языке ABAP, которая была выявлена в сервере приложений SAP NetWeaver Application Server. Уровень критичности составляет 9,9 по CVSSv3, но публичного эксплойта пока не выпущено. SAP разработал исправления и рекомендует обновиться.

Уязвимость SAP Web Application Server связана с неправильным присвоением разрешений для критичного ресурса, которое позволяет дистанционному нарушителю «оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации», — так сказано в описании уязвимости. По сути злоумышленник с ее помощью может обойти процедуру аутентификации и выполнить свой код в контексте сервера приложений NetWeaver. Поскольку он является элементом среды исполнения «тяжёлых» корпоративных приложений, то последствия такого взлома очевидны: хакеры могут вмешаться в работу промышленных ERP-систем под управлением SAP.

SAP Web Application Server — это компонент SAP NetWeaver, выполняющий функции сервера веб-приложений для моделей SAP, на которых работают многие нефтегазовые компании, например, «Сургутнефтегаз», «Газпром», «Роснефть», а также компании в других отраслях, — заявил TAdviser Роман Карпов, директор по стратегии и развитию технологий Axiom JDK. — Продукт включает в себя серверы приложений ABAP и Java. Возможна установка обеих частей (стеков) как совместно, так и по отдельности. Согласно исследованиям, на май 2024 г. SAP занимал 66% российского рынка ERP-систем, хотя он ушел с российского рынка и перестал предоставлять обновления.

Именно поэтому уязвимость в подобном продукте может оказаться очень опасной — она представляет угрозу для критических предприятия российской экономики.

Разработку на данном инструменте ведут те, кто сейчас используют SAP, — напомнил читателям TAdviser Олег Логвинов, генеральный директор компании «Логвинов Консалтинг Сервис». — А это весь нефтегазовый, горнодобывающий сектор, металлургия, транспорт и частично машиностроение. Примерно 60% ВВП страны производится компаниями, использующими SAP.

𝓲

Фото: Freepik

Впрочем, для эксплуатации уязвимости злоумышленники должны получить доступ к серверу NetWeaver, чего предприятия стараются избежать, пряча такие критические элементы корпоративной инфраструктуры за мощной системой защиты и организуя к ним защищённый доступ. Хотя разработчик выпустил исправления, но для российских предприятий обновить соответствующие продукты может быть непросто. Поэтому пользователям уязвимых версий SAP ФСТЭК рекомендует выполнить следующие действия:

• Использовать средства межсетевого экранирования уровня веб-приложений (WAF) для ограничения удалённого доступа к уязвимому программному обеспечению;
• Внедрить механизмы «белых» списков IP-адресов для организации доступа к уязвимому программному обеспечению;
• Обеспечить минимизацию пользовательских привилегий при работе с NetWeaver;
• Отключить или полностью удалить неиспользуемые учётные записи пользователей;
• Настроить защищённые коммуникации для организации удаленного доступа к NetWeaver.

Олег Логвинов, оценив опасность подобной уязвимости для российской экономики, предлагает подойти к уязвимостям подобного типа в SAP радикально — создать подконтрольный государству центр компетенций, в обязанности которого войдет:

• Создание доверенной среды для недоверенных компонент;
• Выработка методологии защиты приложений SAP;
• Проведение аудита на предмет защиты приложений SAP;
• Оказание консалтинговых услуг по инсталляции и организации сред защищенного развития и эксплуатации SAP;
• Контроль на наличие закладок в устанавливаемые исправления;
• Разработка соответствующих изменений российского законодательства;
• Взаимодействие со спецслужбами по локализации исходного кода в РФ.

Собственно, примерно в таком направлении и двигается ФСТЭК в рамках совершенствования инфраструктуры безопасной разработки в России. Однако, эта служба не имеет полномочий для организации подобного центра компетенции. Подобное решение должно быть принято на более высоком уровне.

2020: Продукты Контура прошли программу сертификации интеграции с SAP NetWeaver

Продукты Контура прошли программу сертификации интеграции с SAP NetWeaver — платформой, на которой строятся комплексные решения для бизнеса. Интеграционный комплекс Контур.ERP объединяет бухучет, управление производством и электронный документооборот. Решение, сертифицированное на совместимость с SAP NetWeaver, соответствует отечественному законодательству, подходит российским и международным компаниям, которые ведут бизнес в России. Подробнее здесь.

2018

Интеграция с продуктами Рутокен ЭЦП

26 ноября 2018 года компания «Актив» сообщила, что совместно с SAP CIS завершили тестирование, подтвердившее совместимость продуктов Рутокен ЭЦП с системами SAP. Подробнее здесь.

Уязвимости SAP NetWeaver

5 октября 2018 года компания Positive Technologies сообщила о том, что специалисты компании обнаружили и помогли закрыть уязвимости в продуктах SAP для корпоративного хранения данных и автоматизации бизнес-процессов.

Ошибки позволяют похищать пароли и идентификаторы сессий пользователей, атаковать внутренние сервисы, выполнять вредоносные действия в приложении от имени атакуемого. Первые две уязвимости относятся к типу XSS (межсайтовое выполнение сценариев). Более опасная из них (CVE-2017-16685) выявлена в компоненте хранилища данных SAP Business Warehouse Universal Data Integration, она получила оценку 6,9 балла и присутствует в версиях 7.50 и ниже. Вторая уязвимость найдена в SAP NetWeaver Development Infrastructure Cockpit, получила оценку 5,4 и описана в уведомлении о безопасности (SAP Security Note) под номером 2444673.

«Обе уязвимости вызваны отсутствием должной фильтрации значений параметров пользовательского запроса к серверу, которое позволяет атакующему выполнить произвольный код JavaScript в браузере пользователя. Злоумышленнику достаточно отправить своей жертве специально сформированную ссылку (как в случае CVE-2017-16685) или, обладая правами авторизованного пользователя, добавить вредоносный код на страницу приложения (Security Note 2444673). Это может привести к хищению идентификатора сессии пользователя или выполнению любого действия в приложении от имени атакуемого». Дмитрий Гуцко, руководитель отдела безопасности бизнес-систем Positive Technologies

Также специалисты Positive Technologies обнаружили уязвимость CVE-2017-16678 (6,6 балла) в SAP NetWeaver Knowledge Management Configuration Service — приложении SAP, отвечающем за конфигурацию системы. Уязвимость класса Server-Side Request Forgery (SSRF) позволяет авторизованному в приложении злоумышленнику атаковать различные сервисы, находящиеся во внешних или внутренних сетях, вынуждая сервер, на котором находится уязвимое приложение SAP, отправлять произвольные вредоносные HTTP-запросы на соответствующие узлы сети. Эксплуатация уязвимости возможна и от лица легитимного пользователя, если тот, будучи авторизованным в приложении, зайдет на подконтрольную злоумышленнику страницу — в данном сценарии может дополнительно использоваться подделка межсайтового запроса (Cross Site Request Forgery). Ошибки обнаружены в компонентах EPBC и EPBC2 в версиях с 7.00 по 7.02, а также KMC-BC версий 7.30, 7.31, 7.40 и 7.50.Как «Полюс» отказывается от SAP. Опыт российского лидера золотодобычи представлен на TAdviser SummIT 4.1 т

Помимо этого, в приложении SAP NetWeaver System Landscape Directory, которое служит для хранения данных об аппаратных и программных компонентах, была выявлена уязвимость раскрытия информации (описана в Security Note под номером 2527770, оценка 4,3). Она позволяет атакующему с помощью сканирования портов получить информацию о внутренней сети, в которой находится сервер.

Позднее компания SAP также устранила уязвимости CVE-2018-2401 и CVE-2018-2366, найденные экспертами Positive Technologies в SAP Business Process Automation (BPA) By Redwood — платформе, предназначенной для автоматизации бизнес-процессов предприятия.

Дефект CVE-2018-2401 (оценка 5,4 балла) обнаружен в версии 9.0 в SAP BPA. Он позволяет авторизованному в системе пользователю читать любые файлы сервера, используя недостаток обработки XML-документов пользователя, что приводит к атаке внедрения внешних сущностей (XML External Entity). Для эксплуатации уязвимости злоумышленник может передать на сервер специально сформированный XML-документ, что спровоцирует ошибку, в тексте которой будет находиться содержание файла сервера. Вторая уязвимость в SAP BPA относится к типу «Обход каталога» (Directory Traversal, CVE-2018-2366), она получила оценку 4,3 балла. Ей подвержены версии 9.0 и 9.1. Причиной возникновения этого недостатка послужил неверный парсинг строки запроса на стороне сервера, что позволяет читать локальные файлы сервера, включая системные. Чтение файлов может привести к перехвату чувствительных данных пользователей, например их паролей или конфигурационных файлов, что далее может привести к обходу системы защиты.

Как отметили в компании SAP CIS перечисленные уязвимости, обнаруженные специалистами Positive Technologies, были устранены в период с сентября 2017 года по март 2018 года.

2017: Уязвимости SAP NetWeaver

24 апреля 2017 года компания Positive Technologies сообщила о выявлении уязвимостей в технологии SAP NetWeaver 7.31. Пользователям платформы предложено установить обновления безопасности.

Эксперты выявили уязвимости в программных компонентах SAP Enterprise Portal Navigation, SAP NetWeaver Log Viewer и SAP Enterprise Portal Theme Editor, входящих в состав платформы SAP NetWeaver. Недостатки безопасности позволяют атакующим выполнить перехват учетных данных для входа, зарегистрировать нажатия клавиш, подменить данные и выполнять другие нелегитимные действия, вплоть до полной компрометации системы.

В исследовании приняли участие специалисты компании Юрий Алейнов, Егор Димитренко, Роман Понеев и Михаил Ключников. Четыре уязвимости межсайтового выполнения сценариев (Cross-Site Scripting, XSS) обнаружены в компонентах корпоративного веб-портала SAP Enterprise Portal — SAP Enterprise Portal Navigation (оценка 6.1 по шкале CVSSv3) и SAP Enterprise Portal Theme Editor (три бреши с оценками 5.4, 6.1 и 6.1 по шкале CVSSv3).

Эксплуатируя уязвимости злоумышленник может получить доступ к токенам сессии жертвы, учетным данным для входа и другой конфиденциальной информации в браузере, выполнить различные действия от имени пользователя, изменить содержимое HTML-страницы, перехватить нажатия клавиш. Рекомендации по устранению этих недостатков описаны в уведомлениях о безопасности (SAP Security note) под номерами 2369469, 2372183, 2372204 и 2377626.

Крупнейшие компании мира используют SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимоотношением с поставщиками и клиентами, ресурсами предприятий, поставками и другими критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации играет огромное значение, а нарушение конфиденциальности таких данных может привести к катастрофическим последствиям для бизнеса. Дмитрий Гуцко, руководитель отдела безопасности бизнес-систем Positive Technologies

Уязвимость обхода каталога (Directory Traversal, оценка 5.9 по шкале CVSSv3) — позволяет загрузить произвольные файлы в компоненте SAP NetWeaver Log Viewer. При загрузке некорректно сформированного архива, содержащего файлы со специальными символами в названии, и его последующей распаковке, веб-приложение распознает символы «.» и «/» как часть корректного пути файла, что позволяет злоумышленникам эксплуатировать уязвимость обхода каталога и загружать файлы в любое место файловой системы сервера.

Последствия загрузки произвольных файлов могут повлечь за собой компрометацию системы, чрезмерную нагрузку на файловую систему или базу данных, распространение атаки на серверные системы и подмену данных (defacement). Степень воздействия этой уязвимости высока, поскольку произвольный код может выполняться в контексте сервера. Действия, позволяющие устранить этот недостаток, описаны в уведомлении о безопасности SAP под номером 2370876.

Все перечисленные уязвимости были закрыты в рамках Security Patch Day в январе 2017 года. Спасибо коллегам за проделанную работу. Она еще раз напоминает владельцам систем о необходимости своевременно обновлять версии программных продуктов, отслеживать публикацию SAP Note по безопасности и устанавливать патчи, описанные в них. Дмитрий Костров, директор по информационной безопасности в SAP СНГ

2016: Уязвимости SAP NetWeaver

20 июня 2016 года свет увидело исследование компании Digital Security, которое выявило многочисленные уязвимости в SAP NetWeaver компании SAP. ПО - техническая основа для всех приложений SAP Business Suite. Продукты на платформе SAP NW используют тысячи компаний в мире, в том числе – в России и СНГ.

Автор работы Ваагн Вардянян, эксперт департамента аудита безопасности SAP в компании Digital Security. Сканирование проводилось по 7348 SAP-серверам, доступным через Интернет. На сервере, где проводилось исследование, установлено около 1400 компонентов (приложений).

Эксплуатация уязвимостей

В ходе анализа безопасности SAP NetWeaver было обнаружено множество уязвимостей, включая уязвимость разглашения информации, SQL injection, ошибку хеширования паролей. Совместное использование этих проблем безопасности в некоторых случаях дает возможность получить сначала логины пользователей, потом зашифрованные пароли, далее, вследствие неправильной реализации хеширования, – завладеть паролем любого пользователя SAP JAVA.

Если злоумышленник обнаружит одну или несколько из перечисленных уязвимостей, последствия могут быть разными. К примеру, используя только багу разглашения логинов пользователей, он может получить логины пользователей и открыть портал по адресу /irj/portal. Далее, если он начнет вводить неправильные пароли к логинам, после 3-5 попыток будут заблокированы все учетные записи, и бизнес-процессы атакуемой компании просто остановятся, пока администраторы не разблокируют их в ручном режиме.

Другой вектор атак может быть связан с SQL injection. Используя эту уязвимость, злоумышленник может отправить 3-10 веб-запросов на сервер SAP NW JAVA и запросить от базы большой объем данных. Далее, БД задействует все ресурсы сервера для удовлетворения запроса атакующего, при этом сервер перестанет отвечать на все легитимные запросы от сотрудников SAP. И перед нами – классическая картина DoS. Кроме того, злоумышленник может просто получить любые данные, включая критичные, из БД SAP NW JAVA без организации DoS-атаки.

Эксплуатация SQL injection позволит получить хэш пользователей. А если будет задействована и уязвимость, связанная с ошибкой хеширования паролей, представляется возможность «в один клик» завладеть паролем администратора или бухгалтера, похитить денежные средства со счетов компании и перевести их в какой-либо банк, а также получить полную базу пользователей, доступ к персональной информации с возможностью последующей продажи.

Исследование показало, что уязвимости разглашения информации подвержено около 1013 серверов (~14% от общего числа отсканированных серверов, 7348).

Диаграмма доступности портов, (2016)

Красноречиво выглядит статистика доступности сервлета, в котором может содержаться уязвимость SQL injection: 2174 серверов (т.е. ~30% от общего числа отсканированных серверов, 7348).

Диаграмма доступности сервлета, (2016)

Исследователь Digital Security уведомил компанию SAP о найденных уязвимостях, вендор оперативно выпустил патчи и рекомендовал пользователям обновить софт. Некоторым из обнаруженных проблем безопасности был присвоен критичный уровень риска (9.1/10, по классификации SAP).

2010

NetWeaver 7.3

По сообщению представителей SAP, в 2010 году будет выпущена версия платформы — NetWeaver 7.3, для которой обещана значительно улучшенная поддержка Java, в том числе сертификация на соответствие Java EE5, а также расширенная поддержка веб-сервисов, дополненные возможности управления идентификацией и различные усовершенствования в области обеспечения продуктивности работы пользователей, в том числе корпоративные «рабочие пространства».^[2]

Как указывают в SAP, в дальнейшем платформа будет задействована в трех ключевых технологических стратегиях компании: в сфере мобильных приложений, облачного ПО и вычислений в оперативной памяти. NetWeaver планируется интегрировать с платформой мобильных приложений, полученной с покупкой Sybase. На основе NetWeaver также разрабатывается проект шлюза Gateway, который позволит осуществлять доступ к данным систем SAP с помощью различных устройств и приложений. Кроме того, к платформе будет присоединен механизм вычислений в оперативной памяти, используемый в анонсированной ранее серии аналитических серверов SAP. В стратегии облачных платформ SAP платформа будет использоваться для обеспечения возможностей управления и разработки.

Отметим, что по мнению некоторых наблюдателей, NetWeaver в последнее время развивается не настолько активно, как конкурентные стеки связующего ПО корпораций Oracle и IBM. В результате появились слухи, что SAP рано или поздно купит крупного производителя связующего ПО наподобие TIBCO или Software AG.

Поддерживаемые стандарты

На май 2010 года платформа SAP NetWeaver поддерживает интернет-стандарты, такие как HTTP, XML и Web-сервисы. Тем самым обеспечивается открытость и совместимость со средами Microsoft .NET и Java 2 Platform Enterprise Edition (J2EE), например, IBM WebSphere.

Компоненты и инструменты SAP NetWeaver

(Данные актуальны на май 2010 года)

Компоненты

• «Бизнес-аналитика» (SAP Business Intelligence)
• «Портал предприятия» (SAP Enterprise Portal)
• Инфраструктура обмена «SAP Exchange Infrastructure (SAP XI)»
• «Управление основными данными» (SAP Master Data Management)
• «Мобильная инфраструктура» (SAP Mobile Infrastructure)
• Инфраструктура SAP Auto-ID Infrastructure
• Сервер Web-приложений SAP (SAP Web Application Server)

Инструменты

• «Архитектура композитных приложений» (SAP Composite Application Framework)
• Среда разработки SAP NetWeaver Developer Studio
• Платформа SAP Solution Manager

Дополнительные решения

• Архивация и управление документами и данными SAP.

Примечания