安全公告編號:CNTA-2017-0018

近期，國家信息安全漏洞共享平臺（CNVD）收錄了SAP云商務平臺HANA系統存在多個漏洞中的兩個關鍵漏洞：HANA自助服務身份認證漏洞與會話固定（Session Fixation）漏洞（CNVD-2017-02799、CNVD-2017-02802）。利用這些漏洞，外部或內部攻擊者未經任何身份認證就能夠冒用其他用戶甚至是高權限用戶身份，遠程控制SAP HANA平臺，使得平臺上承載的企業和組織信息和業務安全可能面臨嚴重威脅。

?一、漏洞情況分析

SAP是總部位于德國沃爾多夫市的全球最大的企業管理和協同化電子商務解決方案供應商。HANA(High-Performance Analytic Appliance)是一個軟硬件結合體的內存數據庫，大量應用于實時業務數據的查詢和分析。根據國外安全公司 Onapsis Research Labs 的報告，其發現SAP云商務平臺 HANA 中存在27個漏洞，其中有兩個關鍵漏洞：

（一）SAP HANA自助服務工具身份認證漏洞。該工具允許用戶激活一些額外的功能，如修改密碼、密碼重置、用戶自注冊等功能，但卻存在身份認證漏洞，攻擊者不需要經過任何驗證，可利用漏洞通過HANA的用戶自助服務元件入侵整個系統。

（二）SAPHANA自助服務存在會話固定漏洞（Session Fixation）。外部或內部攻擊者未經任何身份認證就能夠使用其他用戶甚至是高權限用戶會話權限，在不需要用戶名和密碼的情況下修改、竊取或刪除敏感資料。??

CNVD對上述漏洞的技術評級為“高危”。

?二、漏洞影響范圍

漏洞影響SAP HANA2及以往舊版本，包括SAP HANA SPS09等。根據CNVD秘書處普查結果，互聯網上共有約2.4萬臺標記為SAP HANA云商務平臺的主機IP，其中排名前五的國家和地區分別是美國（占比35.7%）、韓國（10.8%）、德國（10.1%）、中國大陸地區（6.9%）以及印度（3.0%）。

三、漏洞修復建議

CNVD提醒用戶及時的更新系統到官方最新版本。運行老舊的系統或不當的配置都會影響SAP HANA業務系統的安全性，增加數據丟失的風險。也可以通過以下臨時解決方案：禁用用戶自助服務,或添加網絡邊界設備訪問控制措施。

詳細漏洞信息可參考SAP HANA自助服務漏洞專用網站：

https://www.onapsis.com/threat-report-understanding-sap-hana-user-self-service-vulnerability

附：參考鏈接：

https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02799

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02802