信息來源：國家互聯(lián)網(wǎng)應急中心

        近期，國家信息安全漏洞共享平臺（CNVD）收錄了SAP云商務平臺HANA系統(tǒng)存在多個漏洞中的兩個關鍵漏洞：HANA自助服務身份認證漏洞與會話固定（Session Fixation）漏洞（CNVD-2017-02799、CNVD-2017-02802）。利用這些漏洞，外部或內(nèi)部攻擊者未經(jīng)任何身份認證就能夠冒用其他用戶甚至是高權限用戶身份，遠程控制SAP HANA平臺，使得平臺上承載的企業(yè)和組織信息和業(yè)務安全可能面臨嚴重威脅。

        一、漏洞情況分析

        SAP是總部位于德國沃爾多夫市的全球最大的企業(yè)管理和協(xié)同化電子商務解決方案供應商。HANA(High-Performance Analytic Appliance)是一個軟硬件結合體的內(nèi)存數(shù)據(jù)庫，大量應用于實時業(yè)務數(shù)據(jù)的查詢和分析。根據(jù)國外安全公司 Onapsis Research Labs 的報告，其發(fā)現(xiàn)SAP云商務平臺 HANA 中存在27個漏洞，其中有兩個關鍵漏洞：

        （一）SAP HANA自助服務工具身份認證漏洞。該工具允許用戶激活一些額外的功能，如修改密碼、密碼重置、用戶自注冊等功能，但卻存在身份認證漏洞，攻擊者不需要經(jīng)過任何驗證，可利用漏洞通過HANA的用戶自助服務元件入侵整個系統(tǒng)。

        （二）SAPHANA自助服務存在會話固定漏洞（Session Fixation）。外部或內(nèi)部攻擊者未經(jīng)任何身份認證就能夠使用其他用戶甚至是高權限用戶會話權限，在不需要用戶名和密碼的情況下修改、竊取或刪除敏感資料。 

         CNVD對上述漏洞的技術評級為“高?！?。

        二、漏洞影響范圍

        漏洞影響SAP HANA2及以往舊版本，包括SAP HANA SPS09等。根據(jù)CNVD秘書處普查結果，互聯(lián)網(wǎng)上共有約2.4萬臺標記為SAP HANA云商務平臺的主機IP，其中排名前五的國家和地區(qū)分別是美國（占比35.7%）、韓國（10.8%）、德國（10.1%）、中國大陸地區(qū)（6.9%）以及印度（3.0%）。

        三、漏洞修復建議

        CNVD提醒用戶及時的更新系統(tǒng)到官方最新版本。運行老舊的系統(tǒng)或不當?shù)呐渲枚紩绊?SAP HANA業(yè)務系統(tǒng)的安全性，增加數(shù)據(jù)丟失的風險。也可以通過以下臨時解決方案：禁用用戶自助服務,或添加網(wǎng)絡邊界設備訪問控制措施。

        詳細漏洞信息可參考SAP HANA自助服務漏洞專用網(wǎng)站：https://www.onapsis.com/threat-report-understanding-sap-hana-user-self-service-vulnerability

        附：參考鏈接：

        https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-02799

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-02802