Архитектурные уязвимости в ERP-системах и СУБД открывают доступ к корпоративным данным
На прошедшей недавно конференции BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital Security рассказали об атаках на корпоративные бизнес-приложения, которые могут быть использованы злоумышленниками для реализации шпионажа, саботажа и мошеннических действий в отношении конкурентов. На конференции были представлены неизвестные ранее методы атак на популярные ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая является универсальной платформой для разработки кастомизированных бизнес-приложений, говорится в сообщении Digital Security.
Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации, утверждают в Digital Security. В частности, большинство архитектурных уязвимостей перечисленных систем просто невозможно «закрыть», что влечёт за собой возможность их эксплуатации в дальнейшем, пояснили в компании. «Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности», – отметил Александр Поляков, технический директор Digital Security и руководитель исследовательского центра DSecRG.
Так, в своем докладе Александр Поляков привёл пример, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД Open Edge database (Progress company), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации: проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, без знания пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения, подчеркнули в Digital Security.
Ещё один пример – это система SAP SRM, используемая, среди всего прочего, для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.
«Большинство из рассмотренных в докладе примеров говорит о том, что безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях, – сообщил Александр Поляков. – До сих пор компании тратили миллионы долларов, устраняя SOD-конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников».
© CNews