Afaria是德國SAP軟件公司開發(fā)的一個移動設備管理(MDM)解決方案，是目前市場上最為流行的MDM解決方案，大約有6300個企業(yè)用它管理著1億300萬的移動設備。

[[150229]]

ERPScan是專門負責保護SAP和Oracle重要ERP系統(tǒng)的安全公司，其安全人員卻在SAP的Afaria上發(fā)現(xiàn)了一系列嚴重漏洞，他們原計劃是在3月底的Black Hat會議(亞洲)上披露這些問題的，但SAP沒有及時發(fā)布補丁，所以原計劃的披露演講也就推遲了。直至周四亞特蘭大舉行的 Hacker Halted會議上才公布漏洞的相關細節(jié)。

漏洞一：權限繞過漏洞

其中ERPScan報道并認定的最為嚴重的漏洞是權限繞過漏洞，攻擊者可以利用SAP Afaria中的漏洞控制用戶的手機。

Afaria允許管理員通過向其管理的移動設備上發(fā)送一條SMS消息，然后便可遠程執(zhí)行多種操作，可以刪除設備、鎖住設備、使WiFi不可用等。

攻擊者首先會偽造一個身份驗證字符的SHA256哈希值，然后再向受害者手機上發(fā)送惡意管理員信息。但攻擊者要發(fā)送惡意管理員信息時需要具備兩個條件：1，受害者手機號;2，國際移動終端設備標識碼(IMEI)。

ERPScan技術總監(jiān)Alexander Polyakov指出，外部攻擊者可以通過社工的方式或者從目標公司網(wǎng)上獲得受害者的手機號。至于IMEI則有點難得到，可以先在目標公司附近的某處嗅探其GSM流量。如果是內(nèi)部的攻擊者則就簡單的多了，企業(yè)內(nèi)部入口處就能查到很多手機號碼。

“通常，公司購買的移動設備都會批量購買，所以IMEI都比較相似，只有個別字符不一樣。所以只要知道一個人的IMEI，就可以順著猜出其他人的IMEI，進而可以向公司的多名員工發(fā)送管理員信息。”

該問題在3月12日就報告給了SAP，但SAP在2個月之后才給予修復。

漏洞二：存儲型xss

另外一個比較嚴重的漏洞是存儲型XSS漏洞，可影響產(chǎn)品的管理操作臺。攻擊者可以遠程在操作臺上注入惡意javascript代碼，管理員只要登陸，該代碼就會被執(zhí)行。

從理論上來說，攻擊者可以利用該漏洞控制所有的移動設備，并發(fā)送惡意程序。

如果攻擊者入侵了MDM被攻擊者入侵，那么受害者的移動設備則會被完全掌控，而且還可以提升自身的權限，訪問存儲著重要數(shù)據(jù)的企業(yè)系統(tǒng)。

存儲型XSS漏洞在2月份報告給SAP公司，8月才給予修復。

其他漏洞

除了這兩個漏洞之外，ERPScan還發(fā)現(xiàn)了數(shù)個緩沖區(qū)溢出漏洞、錯誤授權問題、硬編碼加密密鑰問題。