Среди киберпреступников возрос интерес к старым уязвимостям в ПО от Oracle и SAP.
Тысячи организаций и как минимум десяток компаний и правительственных учреждений стали жертвами хакеров, использующих в атаках старые уязвимости в корпоративном ПО для управления от Oracle и SAP.
По данным информагентства Reuters, Министерство внутренней безопасности США намерено опубликовать соответствующее уведомление безопасности на основании экспертного отчета о рисках, связанных с использованием необновленного ПО от Oracle и SAP. Представители министерства пока не комментируют данную информацию.
Согласно совместному отчету ИБ-экспертов из Onapsis и Digital Shadows, две правительственные организации, а также ряд СМИ и компаний электроэнергетического и финансового секторов были атакованы хакерами через неисправленные уязвимости в ПО от Oracle или SAP. Данные уязвимости позволяют злоумышленникам похитить чувствительную корпоративную информацию, такую как финансовые отчеты, интеллектуальная собственность, номера кредитных карт и пр.
Речь идет о программном продукте, известном как ERP-система, и сопутствующих приложениях для управления кадрами, клиентами и поставщиками. Многие из этих систем оставались уязвимыми в течение десяти и более лет, однако интерес к ним хакеров стремительно возрос только в последнее время, сообщают эксперты.
Исследователи выявили порядка 17 тыс. доступных через интернет установок ПО от Oracle и SAP, используемых в 3 тыс. крупнейших компаний, правительственных учреждений и университетов. Как минимум на 10 тыс. серверов работает некорректно сконфигурированное ПО, уязвимое к атакам с использованием известных уязвимостей в продуктах Oracle и SAP.
Помимо прочего, исследователи обнаружили специализированные обсуждения на российских и китайских хакерских форумах, посвященные эксплуатации уязвимостей в ПО от вышеуказанных производителей.
ERP (планирование ресурсов предприятия) – организационная стратегия интеграции производства и операций, управления трудовыми ресурсами, финансового менеджмента и управления активами, ориентированная на непрерывную балансировку и оптимизацию ресурсов предприятия. Реализуется посредством специализированного интегрированного пакета прикладного программного обеспечения. ERP-система – конкретный программный пакет, реализующий стратегию ERP.
Комментарий от пресс-службы SAP
SAP выступает за безопасное и надёжное программное обеспечение. Как мировой лидер в ПО для бизнеса, мы со всей серьёзностью подходим к вопросам безопасности и применяем передовые практики в наших процессах по обеспечению информационной безопасности – включая разработку, оперирование, создание инструментов и обучение сотрудников. Главные ценности для SAP – это конфиденциальность, сохранность и защита персональных данных. Мы рекомендуем всем нашим клиентам устанавливать патчи по безопасности от SAP как только они доступны – обычно они выходят каждый второй вторник каждого месяца, чтобы защищать инфраструктуру SAP от атак.
Более подробная информация о патчах по безопасности от SAP доступна в нашей публичной wiki , общие рекомендации по вопросам информационной безопасности также описаны в данном гайде , опубликованном на www.sap.com/security .