SAP устранила 23 уязвимости в своих продуктах

image

Теги: уязвимость, целевая система, несанкционированный доступ

В числе прочих устранена ошибка в системе xMII, позволяющая получить доступ к SCADA-системам.

Компания SAP выпустила ежемесячный набор обновлений безопасности за февраль 2016 года. В общей сложности производитель устранил 23 уязвимости в продуктах, в том числе решениях для подключения к системам автоматизированного управления производственными процессами. 13 ошибок получили статус высокой степени опасности.

В числе прочих устранена уязвимость обхода каталогов в системе xMII (Manufacturing, Integration and Intelligence), позволяющая получить несанкционированный доступ к OT-сети (Operational Technology), где расположены промышленные системы контроля (industrial control systems, ICS) и SCADA-системы. Проэксплуатировав ошибку, атакующий может просмотреть произвольные каталоги на целевой системе, в том числе исходный код приложения, конфигурационные и системные файлы.

Через SAP xMII собираются данные о важных процессах. Системы SAP xMII соединены с SAP PCo, обменивающиеся информацией с OPC-серверами, имеющим прямой доступ к ICS- и ПЛК-устройствам.

Как рассказал изданию The Register главный технический директор Digital Security Александр Поляков, любая из уязвимостей в SAP xMII может быть использована для проведения многоступенчатых атак и получения доступа к соединенным системам.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.