Пресс-релизы //

Через неделю половина SAP систем, доступных из Интернет, будет взломана

4-го августа на крупнейшей международной конференции по взлому и защите компьютерных систем – BlackHat USA 2011, которая пройдет в Лас Вегасе, технический директор Александр Поляков из Российской компании Digital Security покажет, как любой злоумышленник сможет получить доступ к системам под управлением SAPиз сети Интернет, используя новый класс уязвимостей.
Системы SAP используются в более чем ста тысячах крупнейших мировых компаний для обработки критичных для бизнеса данных и процессов. Практически в каждой компании из Forbes 500 установлены данные системы для обработки любого процесса, начиная от закупки и управления персоналом и заканчивая финансовой отчетностью и связью с другими бизнес-системами. Таким образом, получение злоумышленником доступа к данной системе влечет за собой полный контроль над финансовыми потоками компании, что может быть использовано для шпионажа, саботажа и мошеннических действий в отношении взломанной компании.

Данный взлом возможен из–за особо опасной уязвимости нового типа, обнаруженной Александром Поляковым в JAVA-движке программного обеспечения SAP, которая позволяет с помощью двух запросов к системе создать в ней пользователя и назначить ему права администратора. Опасность также заключается в том, что атака возможна даже на системы, защищенные системами двухфакторной аутентификации, в которых для доступа нужно знать секретный ключ и пароль.
Для доказательства исследователями из компании Digital Security была написана программа, которая обнаруживает серверы SAP в Интернет при помощи секретной поисковой строки в Google и проверяет обнаруженные серверы на опасную уязвимость. В результате этого оказалось, что более половины из доступных серверов можно взломать при помощи обнаруженной уязвимости.
“Опасность заключается еще и в том, что это не просто новая уязвимость, а целый класс уязвимостей, и нами пока обнаружено только несколько примеров в стандартной конфигурации системы, но так как каждая компания кастомизирует систему под свои бизнес-процессы, то новые примеры уязвимостей данного класса могут быть потенциально обнаружены в будущем у каждой компании. Мы разработали программу, которая является модулем нашего продукта ERPScan сканер безопасности SAP, которая может обнаруживать уникальные уязвимости данного типа для того, чтобы компании могли вовремя защититься. Данный модуль будет также отдельно доступен бесплатно на сайте компании”,– отметил Александр Поляков, технический директор компании Digital Security.

Автор:
Поляков Александр
DIGITAL SECURITY
тел./факс: +7(812)703-1547
тел.: +7(812)430-9130
e-mail: a.polyakov@dsec.ru
www.dsec.ru
www.dsecrg.ru
www.pcidss.ru

Контактное лицо: Зоя Бармут
Компания: Digital Security
Добавлен: 17:26, 29.07.2011 Количество просмотров: 1460

Премьера Smartec: система передачи извещений Vesta-01F-SPI для централизованного контроля пожарной автоматики, АРМО-Системы, 19:48, 26.06.2025, Россия376
В ассортименте Smartec появилась собственная система передачи извещений о пожаре (СПИ) Vesta-01F-SPI.

В CRM-платформе «Модус» ускорилась коммуникация с клиентами благодаря ИИ, ИТ-холдинг Т1, 19:48, 26.06.2025, Россия342

Вендор НОТА (ИТ-холдинг Т1) обновил CRM-платформу «Модус»: основными нововведениями стали интуитивно понятный UI-редактор и система контроля взаимосвязей между компонентами, которые значительно упрощают разработку и внедрение продуктов. Также команда добавила ИИ-функционал, который повышает оперативность коммуникации с клиентами.

В Ленинградской области наблюдается прирост поголовья крупного рогатого скота, Россельхозбанк, 15:42, 26.06.2025, Россия356
По данным аналитиков Россельхозбанка, в 1-ом квартале 2025 года поголовье крупного рогатого скота в Ленинградской области составило около 556 тыс. голов, что на 6% больше, чем за аналогичный период 2024 года.

Группа «Борлас» представила специализированные отраслевые решения на ЦИПР-2025, Группа "Борлас", 15:47, 26.06.2025, Россия361

Группа «Борлас» (ГК Softline) продемонстрировала совместное с VPG LaserONE (ГК Softline) решение для лазерной сварки с применением ИИ и моделей ML, а также рассказала о возможностях специализированных отечественных решений классов CAE и PLM.

АО «ИВК» подтвердила государственную аккредитацию Минцифры Российской Федерации на деятельность в области информационных технологий, ИВК, 15:44, 26.06.2025, Россия356

26 июня 2025 г., Москва

ИТ-решение ЕДИНОГО ЦУПИС признано инновацией года по версии CNews, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 11:22, 26.06.2025, Россия113

ЕДИНЫЙ ЦУПИС получил награду CNews «Инновация года 2025» за создание собственного высокопроизводительного модульного платежного процессинга CUPIS Unified Processing. Премия отмечает ключевые достижения предприятий различных отраслей экономики в области модернизации, использования новейших и наиболее перспективных технологий.

Группа «Борлас» и АО «Моделирование и цифровые двойники» объявили о заключении партнерства, Группа "Борлас", 11:13, 26.06.2025, Россия128

Группа «Борлас» (ГК Softline), мастер-дистрибьютор CAE Fidesys, и АО «Моделирование и цифровые двойники» (АО «МЦД»), ведущий поставщик инженерных цифровых продуктов и решений для проектных, научно-исследовательских и производственных предприятий, объявили о заключении партнерского соглашения. Компании планируют совместно развивать направление инженерного анализа на базе программных продуктов CAE Fidesys.

Тау Технологии добавила поддержку ОС РОСА Мобайл в свое решение для кросс-платформенной разработки, Тау Технологии, 11:05, 26.06.2025, Россия128

Разработанные на Тау Платформе приложения теперь будут работать как на зарубежных Android, iOS, так и на отечественной мобильной РОСА Мобайл, и на настольных РОСА Фреш, и РОСА Хром

По итогам ПМЭФ: Nord Clan представил свои решения для нефтегазовой и медицинской отраслей, Норд Клан, 11:05, 26.06.2025, Россия358
Компания Nord Clan представила свои технологические решения в рамках Петербургского международного экономического форума.

«1С-Рарус» разработал систему управления затратами для дистрибьютора «Охотники на кофе», 1С‑Рарус, 11:03, 26.06.2025, Россия117

В компании «Охотники на кофе» завершен проект внедрения «1С:Управление нашей фирмой». Команда «1С-Рарус» разработала уникальный калькулятор цен, учитывающий специфические параметры бизнеса дистрибьютора кофе. Созданы брендированные прайс-листы с «Колесом вкусов», усовершенствованы процессы закупок и продаж.

Axenix представляет BrOk: свободный универсальный инструмент для управления брокерами сообщений, Axenix, 11:00, 26.06.2025, Россия83
Компания Axenix развивает продукт для разработчиков и тестировщиков ПО – графический дизайнер интеграционных процессов BrOk.

ИТ-кампус «НЕЙМАРК» и «АЛМИ Партнер» объединяют усилия для подготовки ИТ-специалистов, ALMI Partner, 11:00, 26.06.2025, Россия80

Разработчик российского программного обеспечения «АЛМИ Партнер» и ИТ-кампус «НЕЙМАРК» подписали соглашение о сотрудничестве. Партнерство направлено на подготовку квалифицированных специалистов для ИТ-сферы России.

Versta.io: создание национальной цифровой транспортно-логистической платформы очистит рынок, Versta, 10:59, 26.06.2025, Россия113

Создание национальной цифровой транспортно-логистической платформы очистит рынок от неэффективных игроков. Об этом рассказал сооснователь цифрового логистического оператора versta.io Виктор Сизов, комментируя заявление Президента РФ Владимира Путина

STEP LOGIC стал сервисным партнером «Аквариус», STEP LOGIC, 10:48, 26.06.2025, Россия164

Статус сервисного партнера подтверждает опыт и компетенции STEP LOGIC в поддержке и настройке сетевых решений «Аквариус», а также позволяет формировать оптимальный для заказчиков пакет услуг.

N3.Health организовала «Цифровой диалог» разработчиков медицинских информационных систем, Нетрика, 22:45, 23.06.2025, Россия296
5 июня 2025 года компания «ЭлНетМед», разработчик платформы N3.Health, провела в Санкт-Петербурге первую собственную конференцию-воркшоп «Цифровой диалог» для разработчиков информационных систем для медицинского бизнеса