| 0 |
|
Уязвимости в компонентах SAP позволяют получить доступ к базам данных ERP-системы, остановить работу ее сервера, повысить привилегии до максимального уровня и осуществить другие атаки. Эти проблемы обнаружили эксперты Positive Technologies.
Наибольшую опасность представляет уязвимость в среде разработки Web Dynpro Flash Island (оценка 7,5 по шкале CVSS). Этот компонент предназначен для создания веб-приложений в SAP. Отсутствие валидации XML дает возможность злоумышленнику без авторизации в системе SAP провести XXE-атаку и получить доступ к локальным файлам сервера, где располагается SAP (приватным ключам и другой важной информации). Также возможна атака на отказ в обслуживании, которая приведет к остановке сервера SAP.
«Недостатки, выявленные специалистами Positive Technologies в некоторых продуктах SAP, были закрыты пакетами исправлений, выпущенными в феврале-апреле текущего года. Мы рекомендуем всем клиентам SAP следить за выходом SAP Notes по безопасности и своевременно устанавливать обновления», – говорит Дмитрий Костров, директор по информационной безопасности «SAP СНГ».
Проблема отсутствия валидации XML коснулась также компонентов SAP Composite Application Framework Authorization Tool (оценка 4,9) и SAP NetWeaver Web Services Configuration UI (оценка 5,4), однако в этих случаях для реализации XXE-атаки злоумышленнику потребовалась бы авторизация. Атакующий может прочитать любые файлы на сервере: конфигурацию самого сервера SAP, системные файлы операционной системы сервера, а также исходный код приложения. Злоумышленник может выяснить учетные данные администратора системы и повысить привилегии пользователя. Кроме того, возможность посылать запросы от имени сервера в локальную сеть потенциально грозит получением нелегитимного доступа к ресурсам внутренней сети, например к базам данных.
Эти уязвимости были устранены в апрельском пакете исправлений SAP. Меры по снижению риска описаны в уведомлениях 2410082, 2372301 и 2400292.
В феврале и мае были выпущены исправления (уведомления 2369541 и 2406918) для двух компонентов, подверженных XXE-атаке, – SAP Enterprise Portal (оценка 6,5 по шкале CVSS) и вновь SAP NetWeaver Web Services Configuration UI (оценка 3,8), причем в первом случае от злоумышленника не требуется авторизация в системе.
Внутренний атакующий может получить доступ к файлам с хеш-функциями паролей к операционной системе, а также файлам безопасного хранилища и ключам системы SAP. В некоторых случаях злоумышленник сможет завладеть данными аутентификации к ОС и к базе данных сервера SAP, что позволит внутреннему нарушителю получить максимальные привилегии в системе. Для внешнего злоумышленника сетевой доступ на уровнях ОС и базы данных будет заблокирован, но он может попытаться взломать с помощью этих учетных записей аккаунты на других открытых сервисах или провести DDoS-атаку.
В марте компания SAP опубликовала еще три уязвимости, обнаруженные Positive Technologies. Эксперты выявили возможность раскрытия информации в Business Process Management (оценка 5,3). Данная уязвимость позволяет узнать, какие пользователи существуют в системе SAP, что может привести, например, к целенаправленным атакам на них. Уязвимость может помочь злоумышленнику и в эксплуатации различных других уязвимостей – например, позволит угадать пароль пользователя.
Еще две уязвимости – межсайтового выполнения сценариев (XSS) – были обнаружены в SAP Enterprise Portal styleservice (оценка 5,4) и SAP NetWeaver Monitoring application (оценка 6,1). Действия, позволяющие устранить мартовские недостатки, представлены в уведомлениях о безопасности SAP под номерами 2372188, 2392509 и 2417046.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
