作為掌握著企業核心資源信息的ERP系統，長久以來其安全性卻遭到忽視。CIO及IT經理們更多的將精力放在系統安全的維護上，在為ERP選型時卻常常忽視安全問題。根據Onapsis小組的評估，超過95%的ERP系統能夠作為攻擊目標被加以利用，例如間諜式信息竊取攻擊。這一現象是時候引起重視了。

    在Oracle公司于上個月發布的最新一輪補丁中，針對修復其JD Edwards企業資源規則(即ERP)應用程序漏洞的有八個——這進一步突出了ERP應用程序在安全方面常常被忽視的問題，而數據庫缺陷及其它顧慮更是為其前途蒙上了一層陰影。

    盡管JDE應用程序漏洞只占到本次補丁修復的全部78個漏洞中的很小一部分，但這些漏洞已經表現出了發展成為主要攻擊載體的趨勢，并受到安全專家們日益增長的關注。大多數企業并沒有將他們的ERP應用程序看作網絡威脅的一大目標，也從未為其部署充分的安全保障體系。

    ERP系統，作為數據庫平臺上的捆綁組件，往往包含著多個其它應用程序的接口，并運行著許多敏感的業務信息，例如財務明細、銷售情況、生產狀態以及支出、結算和工資等。因此如果其遭受攻擊，將會對業務流程及生產方面造成巨大破壞，專家如是說。

    “它們正在成為攻擊目標，因為黑客們已經逐漸意識到它們并不具備黑匣子之類的保護措施，且其中包含著最敏感的商業信息。因此，如果我們將自己設想為網絡罪犯，既然有能力直接接管包含目標公司珍貴數據的系統，何必去攻擊一臺常規的Windows服務器呢?”Mariano Nunez Di Croce說道，他是Onapsis研究小組的研究及開發部門負責人，該小組發現了已被Oracle公司所修復的諸多JDE漏洞，而其發現的另外12個數據庫漏洞至今仍未得到修復。

    Nunez Di Croce表示，如今各個公司都認為只需對這類應用程序用戶進行職責劃分就能夠起到不錯的保護作用。“但是，幾乎沒人意識到這些平臺必須得到萬全的保護，否則匿名的遠程攻擊者將能夠借此侵入系統并使所有現存的安全保障投入化為烏有，”他說。

    Onapsis小組的研究員Juan Pablo Perez Etchegoyen就其所發現的漏洞如是說：所有這些漏洞都能夠被未經驗證的攻擊者加以利用。它們使犯罪分子得以利用JDE應用程序進行遠程控制、獲取管理員密碼、進行拒絕服務攻擊、禁用日志記錄以掩護攻擊行為并盜取商業信息。而所謂漏洞，則包括緩沖區溢出以及遠程登錄失效漏洞。“所有這些漏洞都可被未經驗證的攻擊者加以利用，而此類威脅從未得到供應商的重視，”Nunez Di Croce說道。“代替合法的ERP連接，上述安全隱患可由攻擊者依個人意愿精心布置并生效。我認為在此之前供應商們一直忽視了這個問題，而如今大家才剛剛開始將其納入議程。”

    根據Onapsis小組的評估，超過95%的ERP系統能夠作為攻擊目標被加以利用，例如間諜式信息竊取攻擊。“而其中的大部分已經通過了規則要求，例如SOX，PCI等等，”他說。“這絕對不是正常現象。”

    ERP供應商們迄今為止仍未真正關注其應用程序的安全保障工作，主要原因是他們還沒有進行深入調研或是感受到高調的攻擊。“事實上，為軟件產品進行安全性強化對銷售來說沒什么好處，而為產品增加新功能則對營銷大有助益。因此軟件供應商往往傾向于把重點放在添加新功能或是解決客戶已經反饋的安全問題。除非有特殊的安全需求，否則這就是普遍意義上的現實，而ERP供應商們目前還沒有在軟件安全方面受到太多質問，也沒有遭遇過類似數據庫產品所面臨的大規模攻擊，例如Slammer蠕蟲，”Esteban Martinez Fayo說，他是AppSecs Team SHATTER的一位安全研究員。

    同時，Oracle在上個月更新的重要補丁中所針對的漏洞使攻擊者們能夠在侵襲JDE應用程序時得以自由發揮。“其中一個漏洞的內容是遠程客戶端執行，通過它我們能夠對服務器及存儲在數據庫中的信息進行破壞，”Onapsis小組的Perez Etchegoyen說道。“而另一個則允許攻擊者遠程訪問應用程序中某些已經設定了密碼的存儲內容……不必通過驗證，攻擊者就能夠重新連入ERP并獲得更高的權限以進行復雜的攻擊。”

    盡管Oracle公司正致力于修復存在于其JD Edwards和PeopleSoft應用程序中的各類漏洞，AppSec的Martinez Fayo認為他們修復漏洞的步伐仍然需要加快。“在Onapsis小組發布的公告中，并不存在新型或是高端的漏洞類型，而恰恰相反，這些類型的漏洞可謂眾所周知，我認為它們真的不應該存在于ERP系統這樣的產品當中，”他說。

    ERP應用程序的破解也異常簡單，他說，因為安全體系在該產品中相當薄弱。“最后我要說的是，ERP系統目前可以被看作是攻擊者入侵數據庫的另一條渠道，因此當企業用戶遭遇ERP系統攻擊時，非常有可能也伴隨著數據庫受到破壞，”他如是說。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：95%的ERP系統存在安全隱患

本文網址：http://m.guhuozai8.cn/html/consultation/1083952806.html