Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 2/8/2012
Sikkerhedsforskere har demonstreret en angrebsmetode, hvor hackere bruger interne servere til at sende angrebskommandoer videre til sårbare servere. Demonstrationen viser, at metoden virker mod SAP-systemer.Metoden kaldes SSRF (Server Side Request Forgery). Den har til formål at bryde gennem sikkerhedssystemer opbygget af flere lag. Hackeren sender data til en offentligt tilgængelig server, for eksempel en webserver. Data herfra sendes ved hjælp af en sårbarhed videre fra serveren til bagvedliggende systemer, der ikke kan nås direkte fra internettet. De fortolker dataene og udfører kommandoer, som giver hackeren frit spil.
I en demonstration på sikkerhedskonferencen BlackHat USA 2012 for nylig viste forskere fra firmaet ERPScan, hvordan de kunne bruge metoden til at udnytte kendte sårbarheder i ERP-systemer fra SAP.
Angrebet udnytter XXE (Xml eXternal Entity) til at henvise til eksterne data fra et XML-dokument.
SSRF har været kendt siden 2008, men det har skortet på praktiske eksempler på, hvordan metoden kan udnyttes. Forskerne planlægger at offentliggøre et værktøj, XXEScanner, der gør det let at finde og teste sårbare systemer.
Anbefaling
Sikkerhedsansvarlige for forretningssystemer bør sætte sig ind i de muligheder, som SSRF giver for angreb. Systemerne skal holdes opdateret med de seneste sikkerhedsrettelser.