36000个SAP系统暴露于互联网上 发现的每个漏洞将影响90%的世界2000强企业

E安全 / 国际 / 

E安全8月3日讯 ERPScan发布了首份全面的SAP网络安全威胁报告,涵盖了三大主要视角:产品安全、实现安全和安全意识

ERPScan公司使用自己的扫描方法收集信息。

SAP威胁情报总监Mathieu Geli解释称,“SAP服务器之间交互所用的协议通常是专用的,并且在SAP IT世界之外并不出名。这意味着开放的扫描资源在他们的扫描中不包括那些特定协议。”

 “这就是为什么我们建立探测请求数据库,然后匹配探测响应确定服务状态的原因。当我们检查漏洞时,如果缺乏良好的有效荷载,我们试图采集远程服务的版本指纹计算潜在统计。”

研究的重要发现如下:

SAP 产品安全

  • SAP产品的安全补丁年平均数量略有下降。然而,这并不意味着漏洞的数量有所减少。SAP目前一个补丁可以修复了多个漏洞,而3年前每个补丁只修复某个特殊的漏洞。总而言之,SAP发布了3662个补丁。大多数(73%)被评为高优先级和热门补丁,这意味着这些漏洞对组织机构的安全带来重大风险。

  • 漏洞平台扩展,目前包括现代云计算和移动技术,如HANA由于云计算和移动技术,新的SAP系统在互联网上更加暴露无遗,因此,在这些服务中发现的每个漏洞可能影响成千上万的跨国公司(90%的财富2000强公司均使用SAP)。例如,SAP移动服务最新报告的问题影响超过一百万的移动设备,并且SAP HANA的漏洞影响超过6000家使用SAP HANA的企业。

  • 每个SAP模式几乎都存在漏洞:CRM首当其冲。根据这项研究,漏洞最多的产品为CRM、EP和SRM。然而,人们不应低估影响SAP HANA和SAP移动应用程序的漏洞,因为相比传统模块,它们更迅速地吸引研究人员(不幸的是,这里指的是黑客)的关注。

  • 特定行业解决方案中的漏洞数量已显著增多。SAP有一组产品专为特定行业设计。在这些解决方案已经发现160多个漏洞。特定行业解决方案中最易受攻击的类型为SAP银行业解决方案、零售、广告管理、汽车和实用程序。

SAP实现安全

  • 全球威胁扩大至超过36000个系统。大多数这些服务(69%)不应通过互联网直接直接可用。


  • 关键基础设施和物联网设备危机四伏。 SAP不仅管理企业资源,而且还充当IT和OT系统之间的调解者。因此,不安全的SAP配置能被用来利用关键基础设施。

SAP安全意识

  • 几乎一半的不必要公开服务位于广泛使用新技术的三个国家,比如美国、印度和中国。

  • SAP安全讲座在全球不同的安全大会开展的数量与不必要公开服务(对比实施的系统总量)的数量相关。在SAP安全演讲次数最多的国家(即美国、德国和荷兰),安装的安全SAP系统数量超过其它国家(SAP研究人员未开展研究报告讲座)。

    ERPScan很荣幸受邀在6大洲的25个国家发表演讲,包括塞浦路斯、科威特、匈牙利等。希望ERPScan在某种程度上有助于提高全球的SAP安全意识。

E句话:不知道发现一个SAP漏洞能值多少钱?