БИЗНЕС-СЕТЬ KINETICS CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС АБН SEC SAAS
     
IT БЕЗОПАСНОСТЬ НОВОСТИ АНАЛИТИКА СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ Напишите нам!  
ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
ВИДЕОНОВОСТИ
ИНТЕРВЬЮ
ВИДЕО ИНТЕРВЬЮ
НОВОСТИ НА ФОРУМЕ
БЛОГ
crm ПОДПИСКА

Чтобы подписаться на рассылку новостей сайта, введите свой e-mail:

 
KINETICS NET: ITSM и ITIL
ITSM (сокращение от IT Service Management) - это концепция управления IТ инфраструктурой компании, сфокусированная на предоставлении услуг и ориентированная на бизнес-потребителя этих сервисов. >>>
ITIL (IT Infrastructure Library) - это обобщение лучшего международного опыта в области организации и управления IT >>>
 
KINETICS NET: CRM СИСТЕМЫ
CRM (Customer Relationship Management) - это концепция управления отношениями с клиентами. В терминах управления бизнесом - это система организации работы front-office с ориентировкой на потребности клиента, на проактивную работу с клиентом.>>>
 
CALL-ЦЕНТРЫ
Call-центр - операторский центр обработки контактов, который позволит обеспечить повышение уровня обслуживания абонентов за счет более оперативной, дешевой и качественной обработки запросов по телефонному и иным каналам связи.>>>
 

НОВОСТИ

04/10/2017

Множественные уязвимости выявлены в продуктах SAP



Эксперты Positive Technologies Юрий Алейнов, Егор Димитренко, Михаил Ключников, Роман Понеев, Михаил Степанкин и Александр Швецов обнаружили уязвимости в компонентах SAP, которые позволяют получить доступ к базам данных ERP-системы, остановить работу ее сервера, повысить привилегии до максимального уровня и осуществить другие атаки.

Наибольшую опасность представляет уязвимость в среде разработки Web Dynpro Flash Island (оценка 7,5 по шкале CVSS). Этот компонент предназначен для создания веб-приложений в SAP. Отсутствие валидации XML дает возможность злоумышленнику без авторизации в системе SAP провести XXE-атаку и получить доступ к локальным файлам сервера, где располагается SAP (приватным ключам и другой важной информации). Также возможна атака на отказ в обслуживании, которая приведет к остановке сервера SAP.

«Продукты SAP используют более сотни тысяч компаний. Распространенность и многофункциональность системы приводит к тому, что эксплуатация даже весьма обыденных уязвимостей чревата серьезными последствиями, — отметил руководитель отдела безопасности бизнес-систем Positive Technologies Дмитрий Гуцко. — Например, рядовая XSS-атака, при которой злоумышленник отправляет пользователю ссылку на вредоносный сценарий и ожидает его исполнения в браузере, грозит получением доступа к любым данным на странице пользователя системы — куки-файлам или токенам сессии. А при наличии привилегий на захваченной машине злоумышленник сможет изменить конфигурацию системы SAP от имени ее владельца — создать новых пользователей, выдать привилегии и роли, загрузить файлы или провести RCE-атаку (произвольное выполнение кода)».

«Компания SAP сотрудничает с экспертами по безопасности по всему миру, что позволяет на ранней стадии находить и устранять уязвимости в наших продуктах. Недостатки, выявленные специалистами Positive Technologies в некоторых продуктах SAP, были закрыты пакетами исправлений, выпущенными в феврале-апреле текущего года. Мы рекомендуем всем клиентам SAP следить за выходом SAP Notes по безопасности и своевременно устанавливать обновления, — сказал Дмитрий Костров, директор по информационной безопасности SAP СНГ. — Positive Technologies — это многолетний партнер SAP, с которым мы плодотворно сотрудничаем для улучшения безопасности наших продуктов. В соответствии с нашими соглашениями подобные исследования об уязвимостях в продуктах SAP публикуются через определенное время после выхода исправлений для них».

Проблема отсутствия валидации XML коснулась также компонентов SAP Composite Application Framework Authorization Tool (оценка 4,9) и SAP NetWeaver Web Services Configuration UI (оценка 5,4), однако в этих случаях для реализации XXE-атаки злоумышленнику потребовалась бы авторизация. Атакующий может прочитать любые файлы на сервере: конфигурацию самого сервера SAP, системные файлы операционной системы сервера, а также исходный код приложения. Злоумышленник может выяснить учетные данные администратора системы и повысить привилегии пользователя. Кроме того, возможность посылать запросы от имени сервера в локальную сеть потенциально грозит получением нелегитимного доступа к ресурсам внутренней сети, например к базам данных.

Эти уязвимости были устранены в апрельском пакете исправлений SAP. Меры по снижению риска описаны в уведомлениях 2410082, 2372301 и 2400292.

В феврале и мае 2017 года были выпущены исправления (уведомления 2369541 и 2406918) для двух компонентов, подверженных XXE-атаке, — SAP Enterprise Portal (оценка 6,5 по шкале CVSS) и вновь SAP NetWeaver Web Services Configuration UI (оценка 3,8), причем в первом случае от злоумышленника не требуется авторизация в системе.

Внутренний атакующий может получить доступ к файлам с хеш-функциями паролей к операционной системе, а также файлам безопасного хранилища и ключам системы SAP. В некоторых случаях злоумышленник сможет завладеть данными аутентификации к ОС и к базе данных сервера SAP, что позволит внутреннему нарушителю получить максимальные привилегии в системе. Для внешнего злоумышленника сетевой доступ на уровнях ОС и базы данных будет заблокирован, но он может попытаться взломать с помощью этих учетных записей аккаунты на других открытых сервисах или провести DDoS-атаку.

В марте компания SAP опубликовала еще три уязвимости, обнаруженные Positive Technologies. Эксперты выявили возможность раскрытия информации в Business Process Management (оценка 5,3). Данная уязвимость позволяет узнать, какие пользователи существуют в системе SAP, что может привести, например, к целенаправленным атакам на них. Уязвимость может помочь злоумышленнику и в эксплуатации различных других уязвимостей — например, позволит угадать пароль пользователя.

Еще две уязвимости — межсайтового выполнения сценариев (XSS) — были обнаружены в SAP Enterprise Portal styleservice (оценка 5,4) и SAP NetWeaver Monitoring application (оценка 6,1). Действия, позволяющие устранить мартовские недостатки, представлены в уведомлениях о безопасности SAP под номерами 2372188, 2392509 и 2417046.

Компания Positive Technologies предлагает несколько продуктов, позволяющих защитить решения SAP от подобных угроз. Система контроля уязвимостей и соответствия стандартам MaxPatrol позволяет своевременно выявлять уязвимости в продуктах SAP, проводить инвентаризацию этих систем, контролировать обновления, анализировать параметры, конфигурации и права доступа. Другой продукт компании, MaxPatrol SIEM, уже «из коробки» может работать с системами SAP на базе платформ SAP NetWeaver ABAP/JAVA. Межсетевой экран прикладного уровня PT Application Firewall с помощью специальных профилей безопасности выявляет атаки (в том числе — нулевого дня) в продуктах SAP NetWeaver, SAP ICM, SAP Management Console и SAP SOAP RFC. Кроме того, анализатор защищенности исходного кода приложений PT Application Inspector поддерживает анализ приложений на языке JAVA для платформы SAP NetWeaver JAVA.



 
О портале Конфиденциальность Блог Реклама на портале Карта сайта  
Copyright © 2010-2017 Secutity Online и Бизнес-сеть "Kinetics". All rights reserved.