SAP приобретает передовые технологии для обеспечения комплексной защиты своих продуктов

SAP приобретает передовые технологии для обеспечения комплексной защиты своих продуктов

Сегодня компании SAP AG и SECUDE AG объявили о достигнутой договоренности о приобретении  компанией SAP программных продуктов для обеспечения безопасности и управления идентификацией и доступом, а также соответствующих активов компании SECUDE, включая ресурсы разработки и консалтинга. В результате этой сделки компания SAP приобретет продукты Secure Login и Enterprise Single Sign-On с целью включения их в свой портфель решений.

Как сообщает SAP, это приобретение позволит компании предоставить своим клиентам безопасное взаимодействие клиент-сервер, и при этом им не придется использовать предложения от сторонних поставщиков. Несмотря на частичную продажу активов, SECUDE будет продолжать функционировать как самостоятельная компания, а основной акцент сместится на портфель решений и продуктов для защиты данных FinallySecure.

Приобретение ключевых решений этого ведущего поставщика технологий, иллюстрирует стремление SAP обеспечивать максимальную безопасность продуктов для своих клиентов и пользователей. Продукты Secure Login и Enterprise Single Sign-On позволят SAP выполнить ключевое требование клиентов: решения должны по умолчанию включать средства обеспечения безопасности. Защита ИТ-среды клиента будет усилена благодаря предварительно настроенным зашифрованным каналам связи, которые формируются на объектах заказчика. Это поможет снизить совокупную стоимость владения и упростить задачу администрирования для клиента.

«Мы очень рады, что в результате заключения этой сделки наша компания сможет не только удовлетворить потребности своих клиентов в сфере обеспечения безопасности, но и расширить компонент SAP NetWeaver Identity Management («Управление политикой конфиденциальности»), включив в него решения Secure Login Server и Enterprise Single Sign-On», – отметил  Бьорн Гоерке (Björn Goerke), старший вице-президент подразделения компании SAP Technology and Innovation Platform Core.

В дальнейшем SAP будет предоставлять базовую версию приложения Secure Login от SECUDE в рамках своей клиентской базы без каких-либо дополнительных расходов со стороны клиентов. Еще одно преимущество заключается в том, что к команде SAP присоединятся квалифицированные разработчики и консультанты, специализирующиеся в области обеспечения безопасности, что существенно укрепит позиции и расширит возможности компании в данной сфере.

Клиенты сталкиваются с серьезными угрозами для целостности и безопасности своих бизнес-процессов вследствие киберпреступлений и целенаправленных атак хакеров с целью кражи деловой информации. Приобретение приложений Secure Login и Enterprise Single Sign-On от SECUDE способствует дальнейшему расширению возможностей SAP в области защиты информации, позволяя сформировать защищенные коммуникационные каналы на любом предприятии. С точки зрения клиентов, это способствует укреплению защиты внутренней ИТ-среды благодаря внедрению более простых и надежных инструментов для авторизации пользователей.

«Глубокие знания и богатый опыт SECUDE теперь будут доступны для обширной клиентской базы компании SAP. Важность этой сделки трудно переоценить, особенно если принимать во внимание ключевую роль инструментов защиты данных в обеспечении соответствия нормативным требованиям и абсолютной управляемости бизнеса», — сказал основатель и генеральный директор SECUDE доктор Хайнер Кромер (Dr. Heiner Kromer).

Сделка между SAP и SECUDE будет завершена к 1 февраля 2011 г. Приобретение двух передовых продуктов SECUDE позволит включить средства установления безопасных соединений во все системы SAP, клиенты получат возможность использования единой точки входа и федеративных идентификаторов в любом пользовательском интерфейсе любой унаследованной системы.

Android взламывали через Firefox и старый баг в ядре Linux

Компания Nebula показала эксплуатацию опасной цепочки уязвимостей для Android: устройство можно скомпрометировать на уровне root после одного перехода по вредоносной ссылке. Эксплойт объединяет две проблемы: уязвимость в Firefox 151.0.2 и более ранних версиях браузера, а также старый баг в ядре Linux, который, по данным исследователей, оставался там около 15 лет.

Вместе они позволяют обойти стандартные защитные механизмы Android и получить полный контроль над устройством.

Атака проходит в несколько этапов. Сначала вредоносная веб-страница использует уязвимость в Firefox, чтобы выполнить код или выбраться из песочницы приложения.

Затем в дело вступает баг в ядре Linux: он даёт возможность читать и записывать память ядра, отключить SELinux и повысить привилегии. После этого злоумышленник может установить в систему бинарник su и закрепить root-доступ.

В демонстрации весь процесс занимает считанные секунды. После успешной атаки на устройстве появляется кастомные «живые» обои от исследователей, а рут-шелл становится доступен через Android Debug Bridge. В Nebula также опубликовали PoC-репозиторий CyberMeowfia с логикой адаптации под конкретное железо. По их данным, цепочка работает на устройствах Google Pixel.

Полные технические детали пока не раскрываются: компания уведомила затронутых вендоров и дала им время на исправления. Но опубликованный PoC уже создаёт почву для обратного анализа, так что со временем подробности, скорее всего, всплывут.

Ирония в том, что часть Android-сообщества ждёт раскрытия не только из соображений безопасности, но и как удобный способ рутовать собственные устройства. Для исследователей это баг, для злоумышленников — оружие, а для энтузиастов — потенциальная кнопка «сделать рут».

RSS: Новости на портале Anti-Malware.ru