В ПО SAP HANA обнаружена 21 брешь

Специалисты ИБ-компании Onapsis сообщили о ряде серьезных уязвимостей в проприетарном программном обеспечении SAP HANA. В общей сложности эксперты обнаружили 21 брешь, 8 из которых получили наивысшую степень опасности. Их эксплуатация позволяла атакующим похитить и удалить данные, в том числе финансовые, изменить информацию о стоимости продукции, а также вызвать отказ в обслуживании системы.

Отмечается, что несколько из этих брешей злоумышленники могли проэксплуатировать удаленно и получить доступ к платформе из любой точки интернета. «Специфика обнаруженных нами проблем позволяла неавторизованному пользователю без знания пароля удаленно получить полный контроль над системой на базе SAP HANA», - цитирует слова гендиректора Onapsis Мариано Нуньеза (Mariano Nunez) издание Networkworld.

Руководство SAP информировалось о проблемах, начиная с февраля этого года, и компания уже выпустила исправления ряда брешей. В настоящее время ПО SAP HANA использует значительное количество компаний и организаций, в том числе T-Mobile, Palo Alto Networks, Airbus, Dell, Adidas, EMC, НХЛ и Marathon Oil.

Уязвимости в программном обеспечении могут привести к серьезным утечкам данных и многочисленным проблемам для предприятий, как это случилось с компаниями TalkTalk , Target или Ashley Madison .

Стоит отметить, что помимо похищения данных, у хакеров может быть и другая мотивация. К примеру, проэксплуатировав уязвимость, атакующие могут вызвать отказ в работе системы и сделать ее недоступной.

Дмитрий Шепелявый, заместитель генерального директора SAP СНГ:

И в России, и в мире мошенничество остается одной из наиболее серьезных угроз для ведения бизнеса. Постоянное развитие высоких технологий обуславливает не только новые возможности, но и риски для бизнеса. Именно поэтому мы уделяем большое внимание цифровой безопасности клиентов. В этой сфере мы тесно сотрудничаем с лучшими мировыми специалистами: примером может стать комплексная система на базе SAP Fraud Management, включающая инструменты Института Проблем Безопасности и Анализа информации (SPI) и экспертизу EY. По прогнозам консолидированное решение поможет вернуть в доход компании до 2% оборота, которые обычно теряются в результате умышленных и неумышленных нарушений.

Также для повышения уровня защиты мы рекомендуем использовать решения по анализу безопасности и управлению инцидентами, например SAP Enterprise Threat Detection, которые помогут избежать серьезных инцидентов, путем контроля над работой консультантов и предоставления актуальной информации о состоянии систем. Далеко не последнюю роль играет также и работа специалистов поддержки со стороны клиента. Мы всегда рекомендуем оперативно устанавливать доступные обновления и не пользоваться стандартными настройками системы.