Afaria是德國(guó)SAP軟件公司開(kāi)發(fā)的一個(gè)移動(dòng)設(shè)備管理(MDM)解決方案，是目前市場(chǎng)上最為流行的MDM解決方案，大約有6300個(gè)企業(yè)用它管理著1億300萬(wàn)的移動(dòng)設(shè)備。

[[150229]]

ERPScan是專門負(fù)責(zé)保護(hù)SAP和Oracle重要ERP系統(tǒng)的安全公司，其安全人員卻在SAP的Afaria上發(fā)現(xiàn)了一系列嚴(yán)重漏洞，他們?cè)?jì)劃是在3月底的Black Hat會(huì)議(亞洲)上披露這些問(wèn)題的，但SAP沒(méi)有及時(shí)發(fā)布補(bǔ)丁，所以原計(jì)劃的披露演講也就推遲了。直至周四亞特蘭大舉行的 Hacker Halted會(huì)議上才公布漏洞的相關(guān)細(xì)節(jié)。

漏洞一：權(quán)限繞過(guò)漏洞

其中ERPScan報(bào)道并認(rèn)定的最為嚴(yán)重的漏洞是權(quán)限繞過(guò)漏洞，攻擊者可以利用SAP Afaria中的漏洞控制用戶的手機(jī)。

Afaria允許管理員通過(guò)向其管理的移動(dòng)設(shè)備上發(fā)送一條SMS消息，然后便可遠(yuǎn)程執(zhí)行多種操作，可以刪除設(shè)備、鎖住設(shè)備、使WiFi不可用等。

攻擊者首先會(huì)偽造一個(gè)身份驗(yàn)證字符的SHA256哈希值，然后再向受害者手機(jī)上發(fā)送惡意管理員信息。但攻擊者要發(fā)送惡意管理員信息時(shí)需要具備兩個(gè)條件：1，受害者手機(jī)號(hào);2，國(guó)際移動(dòng)終端設(shè)備標(biāo)識(shí)碼(IMEI)。

ERPScan技術(shù)總監(jiān)Alexander Polyakov指出，外部攻擊者可以通過(guò)社工的方式或者從目標(biāo)公司網(wǎng)上獲得受害者的手機(jī)號(hào)。至于IMEI則有點(diǎn)難得到，可以先在目標(biāo)公司附近的某處嗅探其GSM流量。如果是內(nèi)部的攻擊者則就簡(jiǎn)單的多了，企業(yè)內(nèi)部入口處就能查到很多手機(jī)號(hào)碼。

“通常，公司購(gòu)買的移動(dòng)設(shè)備都會(huì)批量購(gòu)買，所以IMEI都比較相似，只有個(gè)別字符不一樣。所以只要知道一個(gè)人的IMEI，就可以順著猜出其他人的IMEI，進(jìn)而可以向公司的多名員工發(fā)送管理員信息。”

該問(wèn)題在3月12日就報(bào)告給了SAP，但SAP在2個(gè)月之后才給予修復(fù)。

漏洞二：存儲(chǔ)型xss

另外一個(gè)比較嚴(yán)重的漏洞是存儲(chǔ)型XSS漏洞，可影響產(chǎn)品的管理操作臺(tái)。攻擊者可以遠(yuǎn)程在操作臺(tái)上注入惡意javascript代碼，管理員只要登陸，該代碼就會(huì)被執(zhí)行。

從理論上來(lái)說(shuō)，攻擊者可以利用該漏洞控制所有的移動(dòng)設(shè)備，并發(fā)送惡意程序。

如果攻擊者入侵了MDM被攻擊者入侵，那么受害者的移動(dòng)設(shè)備則會(huì)被完全掌控，而且還可以提升自身的權(quán)限，訪問(wèn)存儲(chǔ)著重要數(shù)據(jù)的企業(yè)系統(tǒng)。

存儲(chǔ)型XSS漏洞在2月份報(bào)告給SAP公司，8月才給予修復(fù)。

其他漏洞

除了這兩個(gè)漏洞之外，ERPScan還發(fā)現(xiàn)了數(shù)個(gè)緩沖區(qū)溢出漏洞、錯(cuò)誤授權(quán)問(wèn)題、硬編碼加密密鑰問(wèn)題。