Пресс-релизы // » Добавить пресс-релиз

Через неделю половина SAP систем, доступных из Интернет, будет взломана

4-го августа на крупнейшей международной конференции по взлому и защите компьютерных систем – BlackHat USA 2011, которая пройдет в Лас Вегасе, технический директор Александр Поляков из Российской компании Digital Security покажет, как любой злоумышленник сможет получить доступ к системам под управлением SAPиз сети Интернет, используя новый класс уязвимостей.
Системы SAP используются в более чем ста тысячах крупнейших мировых компаний для обработки критичных для бизнеса данных и процессов. Практически в каждой компании из Forbes 500 установлены данные системы для обработки любого процесса, начиная от закупки и управления персоналом и заканчивая финансовой отчетностью и связью с другими бизнес-системами. Таким образом, получение злоумышленником доступа к данной системе влечет за собой полный контроль над финансовыми потоками компании, что может быть использовано для шпионажа, саботажа и мошеннических действий в отношении взломанной компании.

Данный взлом возможен из–за особо опасной уязвимости нового типа, обнаруженной Александром Поляковым в JAVA-движке программного обеспечения SAP, которая позволяет с помощью двух запросов к системе создать в ней пользователя и назначить ему права администратора. Опасность также заключается в том, что атака возможна даже на системы, защищенные системами двухфакторной аутентификации, в которых для доступа нужно знать секретный ключ и пароль.
Для доказательства исследователями из компании Digital Security была написана программа, которая обнаруживает серверы SAP в Интернет при помощи секретной поисковой строки в Google и проверяет обнаруженные серверы на опасную уязвимость. В результате этого оказалось, что более половины из доступных серверов можно взломать при помощи обнаруженной уязвимости.
“Опасность заключается еще и в том, что это не просто новая уязвимость, а целый класс уязвимостей, и нами пока обнаружено только несколько примеров в стандартной конфигурации системы, но так как каждая компания кастомизирует систему под свои бизнес-процессы, то новые примеры уязвимостей данного класса могут быть потенциально обнаружены в будущем у каждой компании. Мы разработали программу, которая является модулем нашего продукта ERPScan сканер безопасности SAP, которая может обнаруживать уникальные уязвимости данного типа для того, чтобы компании могли вовремя защититься. Данный модуль будет также отдельно доступен бесплатно на сайте компании”,– отметил Александр Поляков, технический директор компании Digital Security.

Автор:
Поляков Александр
DIGITAL SECURITY
тел./факс: +7(812)703-1547
тел.: +7(812)430-9130
e-mail: a.polyakov@dsec.ru
www.dsec.ru
www.dsecrg.ru
www.pcidss.ru

Контактное лицо: Зоя Бармут
Компания: Digital Security
Добавлен: 17:26, 29.07.2011 Количество просмотров: 1475


Телфин маркирует бизнес-звонки компаний, Телфин, 22:40, 01.10.2025, Россия45
Телфин вводит сервис маркировки исходящих звонков для юридических лиц и индивидуальных предпринимателей. Теперь во время звонка клиент видит название компании и категорию вызова. Это не только обеспечивает соблюдение требований Федерального закона «О связи» от 01.04.2025, но и увеличивает доверие со стороны клиентов и повышает уровень дозвона.


Ежегодная онлайн-конференция BIA Technologies: эксперты поделились инновационными практиками в сфере 1С, BIA Technologies, 22:31, 01.10.2025, Россия41
Профильное мероприятие для специалистов сферы 1С – собственная ежегодная конференция BIA Technologies - БИАТЕХ#1С собрала более 900 участников. Эксперты ИТ-компании поделились инновационной практикой в 1С проектах, обсудили методы повышения эффективности работы и карьерные треки в 1С-разработке. Мероприятие прошло 18 сентября.


Hybrid Metaverse запустил первую в России платформу для рекламы в метавселенных, Hybrid, 22:24, 01.10.2025, Россия45
Компания Hybrid Metaverse, входящая в AdTech-экосистему Hybrid, представила первую в России платформу для размещения рекламы внутри метавселенных — Hybrid Metaverse Ads


«1С ПРО Консалтинг» запускает новый поток образовательного курса по методологии и автоматизации бюджетирования компаний, 1С ПРО Консалтинг, 22:23, 01.10.2025, Россия47
Компания «1С ПРО Консалтинг», которая специализируется на системно-ориентированной методологии внедрения корпоративных решений на платформе «1С», объявляет о запуске нового потока образовательного курса, посвященного разработке методологии и автоматизации бюджетирования.


Пока 6% — для всех льготников. «Выберу.ру» составил рейтинг лучших семейных ипотек в сентябре 2025 года, Финансовый маркетплейс "Выберу.ру", 22:19, 01.10.2025, Россия48
Для того, чтобы всем заёмщикам успеть взять льготный жилкредит под 6%, «Выберу.ру» подготовил рейтинг банков с наиболее выгодными семьям с детьми программами на покупку новостроек.


BNS Group управляет посещаемостью более 100 магазинов с «1C-Рарус:Система подсчета посетителей», 1С-Рарус, 22:15, 01.10.2025, Россия39
Более 100 магазинов BNS Group используют «1С-Рарус:Система подсчёта посетителей» для анализа посещаемости торговых залов и оценки конверсии продаж. Сервис от «1С-Рарус» уже 4 года помогает BNS Group выбирать успешные локации для размещения торговых точек, управлять портфелем брендов и улучшать клиентский сервис.


«Гасзнак» автоматизировал проверку контрагентов с помощью Saby Profile, ООО "Компания "Тензор", 22:00, 01.10.2025, Россия40
Кейс «Гасзнака» — пример того, как бизнес может выстроить систему заранее продуманного контроля, а не реагировать на проблемы постфактум.


Компания «Шаклин» перевела поставки медоборудования в цифровой формат с помощью Saby Docs, ООО "Компания "Тензор", 21:54, 01.10.2025, Россия62
Компания «Шаклин», один из крупнейших российских поставщиков медицинского оборудования и расходных материалов, автоматизировала документооборот с помощью платформы Saby. Цифровизация охватила ключевые направления: поставки, взаимодействие с контрагентами, отчетность перед ФНС и маркировку продукции.


«1С-Рарус:Кассир» получил сертификат «Совместимо!», 1С-Рарус, 21:16, 01.10.2025, Россия35
«1С-Рарус:Кассир» редакции 4.0 успешно прошел ресертификацию «Совместимо! Система программ 1С:Предприятие». Фирма «1С» подтвердила высокое качество и надежность отраслевого решения разработки «1С-Рарус».


VolgaBlob и TS Solution запускают совместный обучающий проект по мониторингу данных, VolgaBlob, 18:05, 01.10.2025, Россия67
На образовательном портале TS University (образовательная платформа TS Solution) станет доступно обучение анализу и мониторингу данных. Курс от компании VolgaBlob будет размещен в открытом доступе — любой желающий сможет повысить свои компетенции в области работы с данными и научиться извлекать из них пользу для бизнеса.


SIMETRA поставила платформу RITM³ в томский «Индор-Мост», Simetra, 18:05, 01.10.2025, Россия69
Проектно-изыскательная организация «Индор-Мост» из Томска внедрила российскую платформу для транспортного планирования RITM³, разработанную группой компаний SIMETRA.


Axenix запустила цикл лекций для студентов Лаборатории ИИ в ТвГТУ, Axenix, 18:05, 01.10.2025, Россия79
Компания Axenix запустила регулярные лекции для студентов, занимающихся в Лаборатории искусственного интеллекта (ИИ), созданной на базе Тверского государственного технического университета (ТвГТУ).


Генеральный директор АО «НБИ» Богдан Шатунов выступил на Kazan Digital Week 2025 с докладом о применении ИИ в энергетике, Акционерное общество «Национальное бюро информатизации», 18:03, 01.10.2025, Россия83
Генеральный директор АО «НБИ» Богдан Шатунов принял участие в форуме Kazan Digital Week 2025, выступив в секции «Кросс-индустриальное применение технологий искусственного интеллекта». В своём докладе он рассказал о практическом применении ИИ-технологий в энергетическом секторе и представил новые решения компании.


Большие данные помогут выбрать страну на основе совпадения менталитета, Greener Relocation, 18:02, 01.10.2025, Россия90
Компания Greener Relocation выпустила бот для подбора страны для переезда, с которой совпадут менталитет и ценности. Алгоритм анализирует базу из 178000+ респондентов из десятков стран мира.


«1С-Рарус» приглашает на форум «Цифровая транспортация 2025», 1С-Рарус, 18:01, 01.10.2025, Россия74
Приглашаем вас принять участие в ключевых секциях фирмы «1С», компаний «1С‑Рарус» и «Астрал Софт» в рамках форума Цифровой транспортации 2025.


  © 2003-2025 inthepress.ru