В числе прочих устранена ошибка в системе xMII, позволяющая получить доступ к SCADA-системам.
Компания SAP выпустила ежемесячный набор обновлений безопасности за февраль 2016 года. В общей сложности производитель устранил 23 уязвимости в продуктах, в том числе решениях для подключения к системам автоматизированного управления производственными процессами. 13 ошибок получили статус высокой степени опасности.
В числе прочих устранена уязвимость обхода каталогов в системе xMII (Manufacturing, Integration and Intelligence), позволяющая получить несанкционированный доступ к OT-сети (Operational Technology), где расположены промышленные системы контроля (industrial control systems, ICS) и SCADA-системы. Проэксплуатировав ошибку, атакующий может просмотреть произвольные каталоги на целевой системе, в том числе исходный код приложения, конфигурационные и системные файлы.
Через SAP xMII собираются данные о важных процессах. Системы SAP xMII соединены с SAP PCo, обменивающиеся информацией с OPC-серверами, имеющим прямой доступ к ICS- и ПЛК-устройствам.
Как рассказал изданию The Register главный технический директор Digital Security Александр Поляков, любая из уязвимостей в SAP xMII может быть использована для проведения многоступенчатых атак и получения доступа к соединенным системам.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале