В системах SAP найдено 3000 уязвимостей

Александр Панасенко 19 Июня 2014 - 12:33

...

Эксперты компании Digital Security, предоставляющей консалтинговые услуги в области ИБ, сообщили о результатах семилетней работы по анализу уязвимостей платформы SAP. По информации, опубликованной на официальном портале SAP, всего было обнаружено 3000 уязвимостей. Значительная их часть была закрыта при помощи команды Digital Security.

Александр Поляков, технический директор компании Digital Security, дает следующие комментарии к проведенному исследованию: «В соответствии с данными портала cvedetails.com, собирающего информацию по всем публичным уязвимостям, а также наиболее уязвимым вендорам, по количеству CVE продукты SAP находятся на 37 месте в списке производителей. Однако стоит понимать, что не все проблемы SAP имеют CVE. Сами представители SAP их не публикуют, в то время как сторонние исследователи тоже делают это лишь изредка, сообщает cnews.ru.

Поэтому, если мы будем судить по количествам публичных уведомлений об уязвимостях (advisories), количество которых насчитывает чуть более 500, то SAP находится на 15 месте. В тоже время, если мы будем считать по числу уязвимостей, закрытых производителем в общем, включая внешние и внутренние, то их наберется 3013. В таком случае, SAP окажется на втором месте после Microsoft. Отметим, что такое сравнение является не совсем правомерным, поскольку Microsoft закрывает множество проблем внутренне. Впрочем, и SAP также может закрывать часть уязвимостей без выпуска SAP Security Note (патчей для проблем безопасности)».

«Если в прошлые годы лишь 10% от найденных уязвимостей, публикуемых ежемесячно, было найдено сторонними наблюдателями, то в последних обновлениях их количество возросло до 60-70%. В тоже время, общее число выпускаемых патчей по безопасности SAP уменьшается с каждым годом», - говорит Александр Поляков.

По его словам, в каждом отдельном продукте SAP за год находится разное количество уязвимостей. Для некоторых новых платформ, таких, например, как HANA, процент проблем стремительно растет с каждым годом, в то время как для платформ JAVA остается почти неизменным. «В случае же со старыми платформами, включая ABAB, можно наблюдать даже некоторое снижение. Также существенно сокращается количество уязвимостей внутри клиентских приложений, особенно в сравнении с 2010 г., когда мы впервые стали их изучать», - отмечает Поляков.

«Для безопасности SAP существует ряд исключительных моментов. Например, такие уязвимости, как повреждение памяти (Memory Corruption), в том числе, переполнение буфера, в мире являются самыми распространенными (порядка 14% от всех проблем), а для SAP они составляют лишь 2 %, причем менее половины из них могут быть использованы для выполнения произвольного кода, и в основном встречаются в клиентских приложениях. В то же время количество проблем, связанных с конфигурацией, составляет 11 % всех проблем SAP-безопасности, а для остального мира этот показатель достигает всего 2 %», - добавляет Александр Поляков.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 07:20

Соответствие законодательству РФ Корпорации Государство Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Совещание в Минцифры уже аукается рынку: часть ИТ-проектов приостановлена

После совещания в Минцифры часть ИТ-компаний начала ставить некоторые проекты на паузу. одна из причин — неопределённость вокруг будущих ограничений на использование VPN и списка сервисов, которые могут попасть под запрет.

Как сообщает телеграм-канал «Время госзакупок» со ссылкой на источник в отрасли, проблема затрагивает не только частный рынок, но и довольно чувствительные для государства процессы.

Речь, в частности, идёт о проектах, связанных с переходом на отечественное ПО и модернизацией критической информационной инфраструктуры. Ситуация осложняется тем, что даже крупные ИТ-компании нередко привлекают senior-специалистов, находящихся за рубежом. Если доступ к привычным инструментам удалённой работы начнёт сбоить, это может заметно замедлить такие проекты.

Под ударом оказываются и госзаказы. В эти цепочки вовлечено много небольших ИТ-компаний и субподрядчиков, и часть из них уже предупредила заказчиков, что временно приостанавливает работы, пока не станет понятнее, как именно будут действовать ограничения и какие VPN-сервисы окажутся вне закона.

Интересно, что сама идея блокировать VPN на крупных интернет-площадках выглядит куда сложнее, чем может показаться на бумаге, отмечают специалисты. Главная проблема — как отличить пользователя, который действительно заходит через средство обхода блокировок, от человека, который просто подключается из другой страны или использует корпоративный VPN.

Один из самых простых вариантов, о которых говорят специалисты, — вообще не пускать пользователей, заходящих из-за рубежа. Но это, мягко говоря, слишком грубое решение. Более реалистичный сценарий — использование скоринговых моделей, которые будут оценивать множество параметров: IP-адрес, язык устройства, настройки региона, поведение пользователя и другие косвенные признаки.

Звучит технологично, но на практике всё не так красиво: для такой схемы нужно собирать и анализировать большой объём данных, а это требует серьёзных вычислительных мощностей, дополнительных команд разработки и постоянной поддержки. К тому же риск ложных срабатываний здесь очень высокий. Проще говоря, под раздачу могут попасть и вполне легальные пользователи.

Напомним, Минцифры попросило крупнейшие российские цифровые платформы — от «Яндекса» и VK до маркетплейсов, онлайн-кинотеатров и сервисов объявлений — подключиться к ограничению VPN с середины апреля. Если компании не согласятся, они, по данным издания, рискуют лишиться аккредитации Минцифры.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!