Большинство устройств SAP HANA работают со слабыми ключами безопасности

image

Теги: SAP HANA, уязвимость

По данным исследователей, стандартный ключ позволяет расшифровать учетные данные администраторов.

Как  сообщает  один из экспертов ERPScan Александр Поляков (Alexander Polyakov), установленные по умолчанию настройки безопасности в SAP HANA (система управления базами данных) подвергают их угрозе компрометации.

Злоумышленникам достаточно воспользоваться универсальным стандартным ключом, чтобы расшифровать учетные данные пользователей системы и обойти таким образом парольную защиту. По словам специалиста, замена уязвимых ключей в большинстве случаев не проводится.

"Многие думают, что SAP HANA не хранит конфиденциальные данные на жестком диске, однако это не так, - поясняет специалист ERPScan, - Получив доступ к файлу "hdbuserstore" и расшифровав его при помощи статического мастер-ключа (по умолчанию все ключи для каждой системы идентичны), взломщики могут раскрыть системные пароли пользователей и ключи шифрования диска, после чего открывается доступ ко всем данным". 

По словам Полякова, ни один из клиентов его компании не изменял заблаговременно мастер-ключ. Инструкция по по устранению угрозы безопасности  опубликована на сайте SAP .
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.