В SAP Afaria до сих пор не исправлены опасные уязвимости годовой давности

image

Теги: SAP, уязвимость, исправление

Эксперты не могут публично разгласить подробности о брешах в связи с отсутствием исправления.

Директор отдела технологий компании по обеспечению безопасности для SAP-систем ERPScan Александр Поляков был вынужден отказаться от публичного разглашения подробностей о нескольких опасных уязвимостей в SAP Afaria – программном комплексе для управления мобильными устройствами. Об этом сообщает издание The Register.

Как заявил Поляков в интервью изданию, производитель был уведомлен об уязвимостях в своем продукте примерно год назад. С тех пор компания так и не выпустила исправление, из-за чего специалист не может сообщить подробности о брешах. По его словам, предприятия, использующие Afaria, сталкиваются с риском хищения данных.

«Уязвимости достаточно опасны, и их не так просто исправить, - заявил Поляков. – Тем не менее, мы не можем разгласить подробности о них, поскольку в SAP до сих пор не до конца их исправили».

ИБ-эксперт также собирался рассказать о брешах в приложении SAP Electronic Medical Records Unwired, одну из которых недавно пытались исправить в очередном обновлении. Она позволяла злоумышленнику получить доступ к важным медицинским записям о пациентах. По словам Полякова, также существовала вторая уязвимость, с помощью которой злоумышленники могли заставить приложение подключаться к вредоносным серверам. В результате хакеры получали полный доступ ко всем медицинским сведениям о пользователях.

Первая уязвимость была исправлена еще в октябре 2013 года, но устранение второй бреши заняло почти два года. При этом Поляков указывал, что их исправление не является сложной задачей.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.