攻击者可抹除SAP Afaria网络平台中移动设备的数据

研究人员发现，如果你的移动设备连接至SAP公司Afaria网络服务器，那么攻击者仅仅通过一条SMS短信就可以清除你的移动设备中的所有数据。SAP公司的Afaria平台中存在有几处非常严重的安全漏洞,攻击者可以利用这些漏洞来控制所有连接至该平台服务器的移动设备。甚至仅仅通过一条精心设计的恶意SMS短信,攻击者就可以删除这些设备中的用户数据。

SAP公司成立于1972年,公司总部位于德国的沃尔多夫市,在全球拥有6万多名员工,子公司遍布于全球的130多个国家和地区,并拥有覆盖全球11,500家企业的合作伙伴网络。作为全球领先的企业管理软件解决方案提供商,SAP可以帮助各行业不同规模的企业实现卓越运营。从企业后台到公司决策层、从工厂仓库到商铺店面、从电脑桌面到移动终端,SAP助力用户和企业的高效协作,获取商业洞见,并从竞争中脱颖而出。SAP的软件和服务能够帮助客户实现盈利性的运营,不断提升应变能力,实现可持续的增长。

Afaria是SAP公司提供的一项商业服务,SAP公司的Afaria平台可以算得上是业界公认的最强大,最灵活,最安全的管理企业移动设备和移动数据的产品了。

首先,为了保证这个平台的正常运行,公司的员工们需要在他们的手机中安装Afaria的客户端,然后公司信息技术部门的员工还需要假设一个服务器组件来对访问公司资源的相应权限进行控制,例如什么身份的人,在什么时间,在什么地方可以访问到公司的这些资源。

根据ERPScan公司安全研究专家的描述,该平台中存在有多处安全漏洞,但SAP公司目前已经将这些漏洞修复了。

攻击者仅仅通过一条SMS短信,就可以清除存储在手机中的数据

在研究人员所发现的所有安全漏洞中,其中最严重的一个漏洞能够允许攻击者伪造服务器组件发送至移动客户端的控制命令。

通常情况下,这种控制命令是通过SMS消息的形式来进行发送的,并且使用SHA256来对发送的消息进行签名。

根据ERPScan公司安全研究专家的描述,攻击者可能已经发现,对这些消息进行签名的操作实际上是非常简单的,他们甚至可以使用他们自己的hash来进行签名,然后他们就可以将这些伪造的控制命令发送至任意一台连接至Afaria网络的移动设备了。

ERPScan公司在美国亚特兰大的HackerHalted安全大会上发表了一篇研究报告,并在论文中写到:“攻击者唯一需要的东西就是公司员工的手机号码以及移动设备的IMEI码,攻击者可以通过多种渠道来获取这两个信息。”

只要得到了这些信息,攻击者就可以得到公司员工移动设备的完整控制权了,并且攻击者还可以锁定这些移动设备,禁用它们的无线网络功能,甚至还可以清除设备中所有的用户数据。

通过网络,攻击者还可以得到目标移动设备的完整控制权。

另一个非常严重的安全漏洞是一个存储型XSS漏洞,这个漏洞存在于Afaria平台的管理控制台之中。攻击者只要将一个经过精心设计的数据包发送至一个特殊的端口(平台的系统管理模块将会记录并存储这个数据包),就可以轻松地利用这个漏洞了。

当管理员进行登录操作的时候,这段经过特殊设计的JavaScript代码将会被执行,这样一来,攻击者就可以直接访问系统的管理控制面板和所有已经建立了通信连接的移动设备了。

通过利用SAP Afaria平台的这个漏洞,攻击者可以从这些受影响的设备中窃取用户的数据,并且还可以在所有的移动设备上安装恶意软件。

除了上述的两个严重的安全漏洞之外,研究人员还在Afaria平台中发现了另外三个安全漏洞。第一个漏洞是一个缓冲区溢出漏洞,这个漏洞能够允许攻击者得到平台的完整控制权,甚至还可以直接弄垮整个服务器。

第二个漏洞是身份检测功能缺失,这将允许攻击者在没有经过任何身份验证的情况下访问到存储在Afaria平台中的数据,这也就意味着,这个漏洞将直接给予攻击者访问企业网络数据的权限。

而第三个漏洞则是关于另一个缓冲区溢出的问题,这个漏洞将会导致系统拒绝服务,这样一来,该平台所有的用户都将无法进行访问。

正如我们在上面所提到的那样,SAP公司的安全工程师花费了大量的时间和精力,目前已经将这些漏洞成功地修复了。