Большинство устройств SAP HANA работают со слабыми ключами безопасности

Как  сообщает  один из экспертов ERPScan Александр Поляков (Alexander Polyakov), установленные по умолчанию настройки безопасности в SAP HANA (система управления базами данных) подвергают их угрозе компрометации.

Злоумышленникам достаточно воспользоваться универсальным стандартным ключом, чтобы расшифровать учетные данные пользователей системы и обойти таким образом парольную защиту. По словам специалиста, замена уязвимых ключей в большинстве случаев не проводится.

"Многие думают, что SAP HANA не хранит конфиденциальные данные на жестком диске, однако это не так, - поясняет специалист ERPScan, - Получив доступ к файлу "hdbuserstore" и расшифровав его при помощи статического мастер-ключа (по умолчанию все ключи для каждой системы идентичны), взломщики могут раскрыть системные пароли пользователей и ключи шифрования диска, после чего открывается доступ ко всем данным". 

По словам Полякова, ни один из клиентов его компании не изменял заблаговременно мастер-ключ. Инструкция по по устранению угрозы безопасности  опубликована на сайте SAP .