關于SAP雲商務平台HANA系統存在多個高危漏洞的安全公告

近期，國(guó)家信息安全漏洞共享平台（CNVD）收錄了SAP雲商務平台HANA系統存在多個漏洞中的兩(liǎng)個關鍵漏洞：HANA自助服務身份認證漏洞與會話固定（Session Fixation）漏洞（CNVD-2017-02799、CNVD-2017-02802）。利用這(zhè)些漏洞，外部或内部攻擊者未經(jīng)任何身份認證就能(néng)夠冒用其他用戶甚至是高權限用戶身份，遠程控制SAP HANA平台，使得平台上承載的企業和組織信息和業務安全可能(néng)面(miàn)臨嚴重威脅。

一、漏洞情況分析

SAP是總部位于德國(guó)沃爾多夫市的全球最大的企業管理和協同化電子商務解決方案供應商。HANA(High-Performance Analytic Appliance)是一個軟硬件結合體的内存數據庫，大量應用于實時業務數據的查詢和分析。根據國(guó)外安全公司 Onapsis Research Labs 的報告，其發(fā)現SAP雲商務平台 HANA 中存在27個漏洞，其中有兩(liǎng)個關鍵漏洞：

（一）SAP HANA自助服務工具身份認證漏洞。該工具允許用戶激活一些額外的功能(néng)，如修改密碼、密碼重置、用戶自注冊等功能(néng)，但卻存在身份認證漏洞，攻擊者不需要經(jīng)過(guò)任何驗證，可利用漏洞通過(guò)HANA的用戶自助服務元件入侵整個系統。

（二）SAPHANA自助服務存在會話固定漏洞（Session Fixation）。外部或内部攻擊者未經(jīng)任何身份認證就能(néng)夠使用其他用戶甚至是高權限用戶會話權限，在不需要用戶名和密碼的情況下修改、竊取或删除敏感資料。

CNVD對(duì)上述漏洞的技術評級爲“高危”。

二、漏洞影響範圍

漏洞影響SAP HANA2及以往舊版本，包括SAP HANA SPS09等。根據CNVD秘書處普查結果，互聯網上共有約2.4萬台标記爲SAP HANA雲商務平台的主機IP，其中排名前五的國(guó)家和地區分别是美國(guó)（占比35.7%）、韓國(guó)（10.8%）、德國(guó)（10.1%）、中國(guó)大陸地區（6.9%）以及印度（3.0%）。

三、漏洞修複建議

CNVD提醒用戶及時的更新系統到官方最新版本。運行老舊的系統或不當的配置都(dōu)會影響 SAP HANA業務系統的安全性，增加數據丢失的風險。也可以通過(guò)以下臨時解決方案：禁用用戶自助服務,或添加網絡邊界設備訪問控制措施。

詳細漏洞信息可參考SAP HANA自助服務漏洞專用網站：https://www.onapsis.com/threat-report-understanding-sap-hana-user-self-service-vulnerability