Публикации
HPE InfoSight – искусственный интеллект для центров обработки данных, статья
Использование Linux в общедоступных корпоративных облаках, статья
Перспективы и проблемы ИИ, статья
Платформы Cisco для аналитики, статья
SCM – перспективы одноуровневой памяти, статья
Intel: новые флэш-устройства, статья
ETERNUS AF S2 – новый уровень ценовой доступности для цифровой трансформации , статья
Evergreen – решение главной проблемы СХД , статья
Cisco: гиперконвергенция для новых вызовов , статья
2018 – год начала больших перемен в отрасли , статья
HPDA: еще и ускорение аналитики больших данных , статья
Компоненты архитектуры Intel для СХД нового поколения , статья
SAP Leonardo ML “в разрезе” , статья
Единая платформа мониторинга гетерогенных СХД, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
Positive Technologies помогла закрыть уязвимости в продуктах SAP для корпоративного хранения данных и автоматизации бизнес-процессов

5, октябрь 2018  — 

Их эксплуатация дает потенциальную возможность получить доступ к   конфиденциальным данным и нарушить бизнес-процессы на предприятии

Ошибки позволяют похищать пароли и идентификаторы сессий пользователей, атаковать внутренние сервисы , выполнять вредоносные действия в приложении от имени атакуемого. Уязвимости обнаружены специалистами Positive Technologies Александром Швецовым и Михаилом Ключниковым и к настоящему моменту устранены компанией SAP.

Первые две уязвимости относятся к типу XSS (межсайтовое выполнение сценариев). Более опасная из них ( CVE-2017-16685 ) выявлена в компоненте хранилища данных SAP Business Warehouse Universal Data Integration, она получила оценку 6,9 балла и присутствует в версиях 7.50 и ниже. Вторая уязвимость найдена в SAP NetWeaver Development Infrastructure Cockpit, получила оценку 5,4 и описана в уведомлении о безопасности (SAP Security Note) под номером 2444673.

« Обе уязвимости вызваны отсутствием должной фильтрации значений параметров пользовательского запроса к серверу , которое позволяет атакующему выполнить произвольный код JavaScript в браузере пользователя, отметил руководитель отдела безопасности бизнес-систем Positive Technologies Дмитрий Гуцко . — Злоумышленнику достаточно отправить своей жертве специально сформированную ссылку (как в случае CVE-2017-16685) или, обладая правами авторизованного пользователя, добавить вредоносный код на страницу приложения (Security Note 2444673). Это может привести к хищению идентификатора сессии пользователя или выполнению любого действия в приложении от имени атакуемого ».

Также специалисты Positive Technologies обнаружили уязвимость CVE-2017-16678 (6,6 балла) в SAP NetWeaver Knowledge Management Configuration Service — приложении SAP, отвечающем за конфигурацию системы. Уязвимость класса Server-Side Request Forgery  (SSRF)  позволяет авторизованному в приложении злоумышленнику атаковать различные сервисы, находящиеся во внешних или внутренних сетях, вынуждая сервер, на котором находится уязвимое приложение SAP, отправлять произвольные вредоносные HTTP-запросы на соответствующие узлы сети. Эксплуатация уязвимости возможна и от лица легитимного пользователя, если тот, будучи авторизованным в приложении, зайдет на подконтрольную злоумышленнику страницу — в данном сценарии может дополнительно использоваться подделка межсайтового запроса (Cross Site Request Forgery). Ошибки обнаружены в компонентах EPBC и EPBC2 в версиях с 7.00 по 7.02, а также KMC-BC версий 7.30, 7.31, 7.40 и 7.50.

Помимо этого, в приложении SAP NetWeaver System Landscape Directory, которое служит для хранения данных об аппаратных и программных компонентах, была выявлена уязвимость раскрытия информации (описана в Security Note под номером 2527770 , оценка 4,3 ). Она позволяет атакующему с помощью сканирования портов получить информацию о внутренней сети, в которой находится сервер.

Позднее компания SAP также устранила уязвимости CVE-2018-2401 и CVE-2018-2366 , найденные экспертами Positive Technologies в SAP Business Process Automation (BPA) By Redwood — платформе, предназначенной для автоматизации бизнес-процессов предприятия.

Дефект CVE-2018-2401 ( оценка 5,4 балла) обнаружен в версии 9.0 в SAP BPA. Он позволяет авторизованному в системе пользователю читать любые файлы сервера, используя недостаток обработки XML-документов пользователя, что приводит к атаке внедрения внешних сущностей (XML External Entity). Для эксплуатации уязвимости злоумышленник может передать на сервер специально сформированный XML-документ, что спровоцирует ошибку, в тексте которой будет находиться содержание файла сервера.

Вторая уязвимость в SAP BPA относится к типу « Обход каталога » (Directory Traversal, CVE-2018-2366 ), она получила оценку 4,3 балла. Ей подвержены версии 9.0 и 9.1. Причиной возникновения этого недостатка послужил неверный парсинг строки запроса на стороне сервера, что позволяет читать локальные файлы сервера, включая системные. Чтение файлов может привести к перехвату чувствительных данных пользователей, например их паролей или конфигурационных файлов, что далее может привести к обходу системы защиты.

« Многие компании в России и мире применяют продукты  SAP. Вместе с клиентами мы заинтересованы обеспечении безопасности и сохранности данных в системах  SAP  и прилагаем большие усилия для этого – как на стадии разработки самого продукта, так и во время внедрения и при дальнейшей поддержке , –   говорит Дмитрий Костров, директор по информационной безопасности  SAP CIS . –   Для поиска возможных проблем и уязвимостей и их устранения мы работаем с локальными и мировыми специалистами по информационной безопасности. Хотим поблагодарить экспертов  Positive Technologies, с которыми мы успешно сотрудничаем на протяжении многих лет, за исследование безопасности наших продуктов, проведенное на самом высоком уровне – это позволяет оперативно вносить исправления в программный код и делать наши продукты максимально защищенными. Традиционная рекомендация всем клиентам SAP — следить за выходом SAP  Notes по безопасности и своевременно устанавливать обновления.   В соответствии с нашими соглашениями исследования об уязвимостях в продуктах SAP публикуются через определенное время после выхода исправлений для них. Перечисленные уязвимости, обнаруженные специалистами Positive Technologies, были нами устранены в период с сентября 2017 года по март 2018 года ».

Компания Positive Technologies выпускает несколько продуктов, позволяющих защитить решения SAP от   подобных угроз. MaxPatrol SIEM уже « из   коробки » может работать с   системами SAP на   базе платформ SAP NetWeaver ABAP/JAVA. Система контроля уязвимостей и   соответствия стандартам MaxPatrol 8 позволяет своевременно выявлять уязвимости в   продуктах SAP, проводить инвентаризацию этих систем, контролировать обновления, анализировать параметры, конфигурации и   права доступа. Межсетевой экран прикладного уровня PT  Application Firewall с   помощью специальных профилей безопасности выявляет атаки (в   том числе  — нулевого дня) в   продуктах SAP NetWeaver, SAP ICM, SAP Management Console и  SAP SOAP RFC. Анализатор защищенности исходного кода приложений PT  Application Inspector поддерживает анализ приложений на   языке JAVA для платформы SAP NetWeaver JAVA.

Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов. Подробнее — на ptsecurity.com , facebook.com/ PositiveTechnologies , facebook.com/ PHDays .

Публикации по теме
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
 
Новости Positive Technologies

© "Storage News" journal, Russia&CIS
Редакция: 115516, Москва, а/я 57; тел./факс - (495) 233-4935;
www.storagenews.ru; info@storagenews.ru.