Afaria是德国SAP软件公司开发的一个移动设备管理(MDM)解决方案,是目前市场上最为流行的MDM解决方案,大约有6300个企业用它管理着1亿300万的移动设备。
ERPScan是专门负责保护SAP和Oracle重要ERP系统的安全公司,其安全人员却在SAP的Afaria上发现了一系列严重漏洞,他们原计划是在3月底的Black Hat会议(亚洲)上披露这些问题的,但SAP没有及时发布补丁,所以原计划的披露演讲也就推迟了。直至周四亚特兰大举行的 Hacker Halted会议上才公布漏洞的相关细节。
漏洞一:权限绕过漏洞
其中ERPScan报道并认定的最为严重的漏洞是权限绕过漏洞,攻击者可以利用SAP Afaria中的漏洞控制用户的手机。
Afaria允许管理员通过向其管理的移动设备上发送一条SMS消息,然后便可远程执行多种操作,可以删除设备、锁住设备、使WiFi不可用等。
攻击者首先会伪造一个身份验证字符的SHA256哈希值,然后再向受害者手机上发送恶意管理员信息。但攻击者要发送恶意管理员信息时需要具备两个条件:1,受害者手机号;2,国际移动终端设备标识码(IMEI)。
ERPScan技术总监Alexander Polyakov指出,外部攻击者可以通过社工的方式或者从目标公司网上获得受害者的手机号。至于IMEI则有点难得到,可以先在目标公司附近的某处嗅探其GSM流量。如果是内部的攻击者则就简单的多了,企业内部入口处就能查到很多手机号码。
“通常,公司购买的移动设备都会批量购买,所以IMEI都比较相似,只有个别字符不一样。所以只要知道一个人的IMEI,就可以顺着猜出其他人的IMEI,进而可以向公司的多名员工发送管理员信息。”
该问题在3月12日就报告给了SAP,但SAP在2个月之后才给予修复。
漏洞二:存储型xss
另外一个比较严重的漏洞是存储型XSS漏洞,可影响产品的管理操作台。攻击者可以远程在操作台上注入恶意javascript代码,管理员只要登陆,该代码就会被执行。
从理论上来说,攻击者可以利用该漏洞控制所有的移动设备,并发送恶意程序。
如果攻击者入侵了MDM被攻击者入侵,那么受害者的移动设备则会被完全掌控,而且还可以提升自身的权限,访问存储着重要数据的企业系统。
存储型XSS漏洞在2月份报告给SAP公司,8月才给予修复。
其他漏洞
除了这两个漏洞之外,ERPScan还发现了数个缓冲区溢出漏洞、错误授权问题、硬编码加密密钥问题。