Уязвимость в ERP-системе компании SAP привела к утечке данных спецслужб США

В воскресенье, 10 мая, ресурс Nextgov.com сообщил о том, что злоумышленники экслуатировали брешь в системе планирования ресурсов предприятий (Enterprise Resource Planning, ERP), разработанной немецкой софтверной компанией SAP, и похитили конфиденциальные данные, используемые подрядчиком спецслужб США - коммерческой организацией USIS для проверки агентов.

Большую часть десятилетия IT-специалисты сообщают об уязвимостях в ERP-системах. На этой неделе были получены доказательства того, что такие системы подвергаются масштабным кибератакам. Злоумышленники взломали защиту подрядчика разведывательных ведомств США, эксплуатировав уязвимость в системе от компании SAP.

24 марта этого года SecurityLab сообщал об исправленной специалистами SAP бреши в программном продукте компании - Adaptive Server Enterprise. Уязвимость была обнаружена экспертом Trustwave Мартином Рахмановым (Martin Rakhmanov) еще в 2014 году.

Технический директор и соучредитель компании ERPScan, которая занимается разработкой и защитой ERP-систем, Александр Поляков заявил, что ERPScan принимала участие в исследованиях уязвимостей в подобных системах, однако представители компании не имеют права разглашать подробности полученных результатов. Поляков также отметил, что это лишь вопрос времени. Как показывает практика, спустя некоторое время после того, как специалисты по безопасности публикуют информацию о той или иной уязвимости, злоумышленники эксплуатируют ее.

Ранее SecurityLab сообщал о появившихся в СМИ слухах о том, что немецкая компания SAP оставляет в выпускаемых программных продуктах бэкдоры, для того чтобы американские спецслужбы могли использовать их в своих целях.