Критическая уязвимость в SAP системах

Технический директор компании Digital Security Александр Поляков выступит на международной конференции BlackHat USA 2011, 4 августа текущего года. В ходе конференции, которая состоится в Лас-Вегасе, специалист собирается показать, как хакеры могут использовать новый класс уязвимостей, чтобы получить доступ к системам под управлением SAP.

Технологи и системы SAP предназначены для обработки процессов и данных, и применяются тысячами крупных компаний по всему миру. Системы обрабатывают множество процессов закупки товаров, управления персоналом, финансовой отчетности, регулировки связей с партнерами и многие другие. Очевидно, что несанкционированный доступ к данным системам способен повлечь крайне тяжелые последствия для любой компании.

Как утверждает Поляков, он обнаружил уязвимость нового типа, эксплуатация которой позволяет осуществить подобный взлом. Брешь в безопасности кроется в java движке программного обеспечения SAP, она позволяет создать в системе пользователя с правами администратора с помощью двух запросов. Кроме того, по утверждению Полякова, уязвимость пригодна к эксплуатации даже на системах с двухфакторной аутентификацией, где для получения доступа необходимы пароль и секретный ключ.

С целью доказать наличие уязвимости разработчики Digital Security создали сканер, который обнаружил брешь более чем в половине всех доступных в сети Интернет систем SAP. Позже сканер планируется разместить в открытом доступе, чтобы компании могли своевременно устранять бреши в безопасности их систем.