Digital Security помогла SAP закрыть две уязвимости в интеграционной шине SAP

Компания SAP выпустила ежемесячный набор обновлений безопасности за июнь 2012 г. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP. В частности, две из них были исправлены при содействии сотрудников исследовательской лаборатории Digital Security — Александра Полякова, Дмитрия Частухина, Алексея Тюрина и Александра Миноженко.

Уязвимости затронули две платформы для интеграции бизнес-систем предприятия, а именно SAP Portal и SAP PI (Process Integration), которые обычно используются для интеграции бизнес-приложений. Так, основная цель использования SAP NetWeaver PI — обеспечить необходимое качественное взаимодействие различных информационных систем в неоднородном ландшафте: как приложений SAP, так и систем сторонних производителей; как внутри компании, так и при взаимодействии с партнерами и контрагентами. Такие системы, как Portal и PI, зачастую доступны для интернет-пользователей или находятся на границе корпоративной сети с защищённым сегментом, что несёт дополнительную опасность, говорится в сообщении Digital Security.

Обе обнаруженные уязвимости позволяют получить доступ к критичной для бизнеса информации, хранящейся в операционной системе, где установлены приложения. В случае с SAP Portal для эксплуатации уязвимости необходима пользовательская учётная запись в системе (обновление доступно в SAP Note 1705800; критичность по CVSS — 4.9). В случае же с SAP PI уязвимость эксплуатируется анонимно и позволяет получить доступ к критичным данным, а также совершать атаки на системы, интегрированные с SAP PI (обновление доступно в SAP Note 1707494; критичность по CVSS — 8.5). С SAP Notes можно ознакомиться на сайте scn.sap.com.

Уведомления, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах ERPScan.ru и DSecRG.ru. Провести проверку на наличие данных уязвимостей можно уже сейчас с помощью системы мониторинга безопасности SAP ERPScan.

©  CNews