Большинство устройств SAP HANA работают со слабыми ключами безопасности

Большинство устройств SAP HANA работают со слабыми ключами безопасности

По данным исследователей, стандартный ключ позволяет расшифровать учетные данные администраторов.

image
Как  сообщает  один из экспертов ERPScan Александр Поляков (Alexander Polyakov), установленные по умолчанию настройки безопасности в SAP HANA (система управления базами данных) подвергают их угрозе компрометации.

Злоумышленникам достаточно воспользоваться универсальным стандартным ключом, чтобы расшифровать учетные данные пользователей системы и обойти таким образом парольную защиту. По словам специалиста, замена уязвимых ключей в большинстве случаев не проводится.

"Многие думают, что SAP HANA не хранит конфиденциальные данные на жестком диске, однако это не так, - поясняет специалист ERPScan, - Получив доступ к файлу "hdbuserstore" и расшифровав его при помощи статического мастер-ключа (по умолчанию все ключи для каждой системы идентичны), взломщики могут раскрыть системные пароли пользователей и ключи шифрования диска, после чего открывается доступ ко всем данным". 

По словам Полякова, ни один из клиентов его компании не изменял заблаговременно мастер-ключ. Инструкция по по устранению угрозы безопасности  опубликована на сайте SAP .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle