Дмитрий Частухин, директор департамента аудита SAP в Digital Security, обнародовал подробности критичных уязвимостей в решениях по управлению мобильными устройствами SAP Afaria. Эксплуатация этих проблем может привести к перехвату контроля над всеми мобильными устройствами компании через Интернет. С помощью одного простого SMS-сообщения можно стереть данные со всех корпоративных мобильных устройств или заблокировать их.

Доклад с описанием этих уязвимостей был представлен на хакерской конференции Hacker Halted в Атланте.

Решения по управлению мобильными устройствами (MDM) предназначены для защиты организаций и обеспечения надежности политики BYOD (bring your own device, «принеси свое устройство»), но, согласно новейшим исследованиям, именно эти системы становятся слабым звеном, ставящим под угрозу безопасность всего ландшафта. Платформа Afaria от SAP — популярное на данный момент MDM-решение и лидер в сфере управления корпоративной мобильностью (EMM) в 2014 году, по оценке аналитического агентства Forrester. Согласно последним данным, этим решением пользуются 6300 компаний для управления более чем 130 млнмобильных устройств. Его используют и государственные институты. Например, решение Afaria, установленное в Бюро переписи населения США, связывает воедино примерно 150 тыс. устройств.

Ниже кратко описаны две важнейшие уязвимости, представленные на конференции.

Опаснейшая уязвимость позволяет отправлять служебные сообщения с сервера Afaria на мобильный телефон. С помощью этих сообщений можно удаленно контролировать телефон: стереть данные, заблокировать устройство, отключить Wi-Fi и т. д. Такие сообщения защищены от перехвата сигнатурой безопасности, но для обхода защиты атакующему достаточно знать IMEIтелефона: остальные данные и алгоритмы можно вычислить, изучив работу приложения.

Для эксплуатации этой уязвимости злоумышленнику необходимо выяснить номера телефонов сотрудников (а эта информация обычно есть на корпоративном портале). Ему понадобятся их IMEI. Их можно добыть с помощью публично доступных инструментов, способных перехватывать радиосигнал, но есть и более простой способ. Компании обычно закупают телефоны партиями, где IMEI отличаются лишь на несколько цифр. Это значит, что их можно узнать методом перебора. Итак, зная IMEIодного сотрудника, можно вычислить остальные IMEI, сгенерировать сигнатуру и отправить служебную команду на каждый корпоративный телефон. Различные команды могут стереть с телефона данные или заблокировать его. Даже при самом оптимистичном прогнозе, где компания хранит актуальные резервные копии данных, деятельность организации будет парализована на несколько дней или даже недель, что приведет к огромным потерям.

«К сожалению, решения, создаваемые для защиты, часто лишь повышают риск. Поскольку MDM-система управляет всеми корпоративными мобильными устройствами, она становится привлекательной целью для злоумышленника. И в эту цель, как показало наше исследование, легко попасть. Так можно скомпрометировать миллионы мобильных устройств», — прокомментировал Александр Поляков, технический директор Digital Security.

Другую уязвимость можно эксплуатировать удаленно через Интернет, просто просканировав сеть на наличие определенного MDM-сервиса. Этот сервис часто доступен из Интернета, поскольку мобильным устройствам требуется удаленным доступ к MDM-решению. Обнаруженная уязвимость — это XSS в административной консоли MDM, но не тот межсайтовый скриптинг, который обычно бывает на веб-сайтах. Это хранимая XSS, то есть злоумышленник, послав вредоносный пакет на порт сервера, внедряет в MDM-консоль вредоносный JavaScript-код. Когда в консоль входит администратор, этот код автоматически выполняется, атакующий получает контроль над всеми мобильными устройствами и может отправить на них вредоносную программу, чтобы украсть данные или просто заблокировать телефон.

«Сейчас мы наблюдаем растущее число проблем в мобильных приложениях SAP. В 2013 г. мы опубликовали первую в мире уязвимость в SAP Mobile, в 2014 г. SAPзакрыла 21 уязвимость, включая найденные нами, а за 2015 год обнаружено уже 16 уязвимостей в мобильной платформе», — отметил Дмитрий Частухин.

Digital Security рекомендует всем пользователям Afariaустановить патчи и безопасно настроить компоненты SAPMobile. Помимо рисков, которым подвергаются сами мобильные приложения, если злоумышленник получит доступ к мобильному устройству сотрудника или к серверу MDM, он проникнет и в такие корпоративные системы, как ERP, CRM, HR, BI, которые хранят и обрабатывают все ключевые данные. Эти системы тесно связаны между собой, поэтому атакующий без труда повысит свои привилегии в сети.