Positive Technologies выявила множественные уязвимости в продуктах SAP

Positive Technologies выявила множественные уязвимости в продуктах SAP

Уязвимости в компонентах SAP позволяют получить доступ к базам данных ERP-системы, остановить работу ее сервера, повысить привилегии до максимального уровня и осуществить другие атаки. Эти проблемы обнаружили эксперты Positive Technologies Юрий Алейнов, Егор Димитренко, Михаил Ключников, Роман Понеев, Михаил Степанкин и Александр Швецов.

Наибольшую опасность представляет уязвимость в среде разработки Web Dynpro Flash Island (оценка 7,5 по шкале CVSS). Этот компонент предназначен для создания веб-приложений в SAP. Отсутствие валидации XML дает возможность злоумышленнику без авторизации в системе SAP провести XXE-атаку и получить доступ к локальным файлам сервера, где располагается SAP (приватным ключам и другой важной информации). Также возможна атака на отказ в обслуживании, которая приведет к остановке сервера SAP.

«Продукты SAP используют более сотни тысяч компаний. Распространенность и многофункциональность системы приводит к тому, что эксплуатация даже весьма обыденных уязвимостей чревата серьезными последствиями, — отмечает руководитель отдела безопасности бизнес-систем Positive Technologies Дмитрий Гуцко. — Например, рядовая XSS-атака, при которой злоумышленник отправляет пользователю ссылку на вредоносный сценарий и ожидает его исполнения в браузере, грозит получением доступа к любым данным на странице пользователя системы — куки-файлам или токенам сессии. А при наличии привилегий на захваченной машине злоумышленник сможет изменить конфигурацию системы SAP от имени ее владельца — создать новых пользователей, выдать привилегии и роли, загрузить файлы или провести RCE-атаку (произвольное выполнение кода)».

«Компания SAP сотрудничает с экспертами по безопасности по всему миру, что позволяет на ранней стадии находить и устранять уязвимости в наших продуктах. Недостатки, выявленные специалистами Positive Technologies в некоторых продуктах SAP, были закрыты пакетами исправлений, выпущенными в феврале-апреле текущего года. Мы рекомендуем всем клиентам SAP следить за выходом SAP Notes по безопасности и своевременно устанавливать обновления, — сказал Дмитрий Костров, директор по информационной безопасности "SAP СНГ". — Positive Technologies — это многолетний партнер SAP, с которым мы плодотворно сотрудничаем для улучшения безопасности наших продуктов. В соответствии с нашими соглашениями подобные исследования об уязвимостях в продуктах SAP публикуются через определенное время после выхода исправлений для них».

Проблема отсутствия валидации XML коснулась также компонентов SAP Composite Application Framework Authorization Tool (оценка 4,9) и SAP NetWeaver Web Services Configuration UI (оценка 5,4), однако в этих случаях для реализации XXE-атаки злоумышленнику потребовалась бы авторизация. Атакующий может прочитать любые файлы на сервере: конфигурацию самого сервера SAP, системные файлы операционной системы сервера, а также исходный код приложения. Злоумышленник может выяснить учетные данные администратора системы и повысить привилегии пользователя. Кроме того, возможность посылать запросы от имени сервера в локальную сеть потенциально грозит получением нелегитимного доступа к ресурсам внутренней сети, например к базам данных.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Мошенники могут неделю безнаказанно звонить россиянам с номеров знакомых

Телефонные мошенники иногда для пущей убедительности звонят с номеров знакомых и близких намеченной жертвы. Российские злоумышленники, по оценке BI.ZONE, используют такой подлог в среднем 1-2 дня.

В тех случаях, когда развод осуществляется с номера, принадлежащего юрлицу, срок использования может увеличиться до недели. За это время с подменного номера могут провести множество мошеннических звонков без ведома законного владельца.

Подобные телефонные атаки, по данным экспертов, проводятся не только из России, но и из-за рубежа. При этом злоумышленники зачастую применяют автоматизированные средства обзвона — специализированные программы, свободно доступные в интернете, или Telegram-боты.

«Фактически любой номер телефона может использоваться злоумышленниками для обмана близких жертве людей, — комментирует Антон Окошкин, директор BI.ZONE по противодействию мошенничеству. — Например, они могут попросить перевести деньги в долг или узнать чувствительную информацию. К сожалению, такая схема мошенничества остается активной и рабочей. Многим людям даже не приходит в голову, что их могут обмануть подобным образом, когда на экране телефона высвечивается знакомый номер, а разговаривают по нему совершенно другие люди».

Мошенником, использующим чужие номера, может двигать не только корысть. Подобную схему применяют также пранкеры, которые к тому же имеют обыкновение записывать свои беседы. В случае успешного розыгрыша аудиозапись выкладывается в Сеть.

Чтобы не стать жертвой телефонного мошенничества с подлогом, BI.ZONE советует при появлении сомнений прервать разговор и перезвонить на высветившийся номер. Эксперты также напоминают, что с обновлением закона «О связи» (126-ФЗ) операторов обязали блокировать звонки и СМС-сообщения из-за рубежа по подменным номерам.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru