Пресс-релизы //

Шпионаж, Саботаж и Фрод: на конференции BlackHat рассказали о атаках на ERP-системы

На прошедшей недавно конференции BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital Security рассказали об атаках на корпоративные бизнес - приложения, которые могут быть использованы злоумышленниками для реализации шпионажа, саботажа и мошеннических действий в отношении конкурентов. На конференции были представлены неизвестные ранее методы атак на популярные ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая является универсальной платформой для разработки кастомизированных бизнес-приложений.

Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё-равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации. В докладе Александра Полякова, технического директора Digital Security и руководителя исследовательского центра DSecRG, было уделено внимание архитектурным уязвимостям перечисленных систем, и были продемонстрированы различные методы эксплуатации этих уязвимостей. Данные уязвимости в большинстве своём просто невозможно закрыть, что влечёт за собой возможность их эксплуатации в дальнейшем.

“Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности”, - отметил Александр Поляков.

В его докладе приводился пример того, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-и летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД « Open Edge database» (Progress company), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации. Проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, не зная пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения.

Ещё один пример - это система SAP SRM, используемая среди всего прочего для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.

“Большинство из рассмотренных в докладе примеров говорит о том, что безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в Интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях. До сих пор компании тратили миллионы долларов, устраняя SOD конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников”, – отметил Александр Поляков.

Контактное лицо: Каверина Дарья
Компания: Digital Security
Добавлен: 11:24, 08.02.2011 Количество просмотров: 657

У корпоративных ИТ-архитекторов появился инструмент объективной аналитики проектирования ERP, НЦК ИСУ, 00:22, 21.04.2026, Россия4

АНО «Национальный центр компетенций по информационным системам управления холдингом» создала wiki-платформу, которая претендует на статус отечественного аналога международных аналитических ресурсов, подобных Gartner и APQC.

«Рейтинг Рунета» выпустит первый рейтинг компаний, занимающихся продвижением в нейросетях, Рейтинг Рунета, 00:22, 21.04.2026, Россия4

Аналитический сервис подбора подрядчиков «Рейтинг Рунета» закончил работу над методикой нового рейтинга компаний, занимающихся продвижением в нейросетях (GEO/AEO). Рейтинг будет опубликован в июне 2026 года. По предварительным оценкам, в него попадут более 50 агентств из России и ближнего зарубежья.

ITKey выпустил KeyStack 2026.1 - первую российскую коммерческую платформу на OpenStack Epoxy с расширенной enterprise-функциональностью и архитектурой secure-by-default, ITKey, 23:00, 20.04.2026, Россия42

Компания ITKey, российский разработчик и поставщик решений для построения корпоративной облачной инфраструктуры, объявляет о выходе релиза KeyStack 2026.1 - одного из наиболее технологически значимых обновлений платформы. Новая версия сочетает актуальный OpenStack Epoxy с набором собственных промышленных доработок, ориентированных на безопасность, масштабируемость и эксплуатационную устойчивость распределенных инфраструктур.

Пора сэкономить. «Выберу.ру» подготовил рейтинг лучших программ рефинансирования ипотеки в апреле 2026 года, Финансовый маркетплейс "Выберу.ру", 22:54, 20.04.2026, Россия40

«Выберу.ру» подготовил рейтинг банков с наиболее выгодными программами рефинансирования ипотеки. ТОП-подборка позволит ипотечникам, которые оформили жилкредит по высоким прошлогодним ставкам, найти выгодное решение.

ТГУ меняет подход к охране труда, ТГУ, 22:50, 20.04.2026, Россия44
ТГУ запатентовал программу «АУРА», которая автоматически оценивает профессиональные риски.

Северный Народный Банк запустил сервис АУСН на платформе BSS: малый бизнес Коми получил доступ к новому налоговому режиму, BSS, 22:50, 20.04.2026, Россия41

«Северный Народный Банк» (АО) объявил о вводе в промышленную эксплуатацию модуля Автоматизированной упрощённой системы налогообложения (АУСН) компании BSS. Теперь клиенты банка из сегмента микро- и малого бизнеса, могут подключиться к бездекларационному налоговому режиму и управлять им напрямую из интерфейса дистанционного банковского обслуживания (ДБО).

ГИГАНТ Компьютерные системы про защищенные компьютеры созданные для работы в полевых условиях, ГИГАНТ, 19:58, 19.04.2026, Россия182

Владимир Кудряшов, директор сервисного департамента компании «ГИГАНТ Компьютерные системы» рассказывает о рынке защищенных компьютеров для работы в полевых условиях — от влияния регуляторики и импортозамещения до сервисной поддержки в труднодоступных локациях и перспектив российских решений за рубежом.

UDV Group: искусственный интеллект в SOC, UDV Group, 19:58, 19.04.2026, Россия178

Андрей Скороходов, руководитель исследовательских проектов UDV GROUP рассказывает о реальных возможностях искусственного интеллекта в SOC, где AI может заменить первую линию, а где без человека не обойтись.

«Будущее формируют технологии»: БФТ-Холдинг объявил о ребрендинге, БФТ-Холдинг, 23:58, 17.04.2026, Россия95

БФТ-Холдинг, российский вендор, разработчик программных продуктов и заказных решений, объявил о ребрендинге. Обновление затронуло ключевые элементы визуальной идентичности: логотип, шрифт, цветовую палитру и подход к графическим решениям.

Nexign и TelecomDaily: телеком-рынок в большинстве стран СНГ будет расти на 4-7% ежегодно, Nexign, 01:03, 18.04.2026, Россия384

Nexign и информационно-аналитическое агентство TelecomDaily провели исследование телеком-рынка в странах СНГ. В опросе приняли участие руководители крупнейших телеком-операторов России, Казахстана, Кыргызстана, Узбекистана, Белоруссии, Таджикистана, Азербайджана и Армении.

«Хи-Квадрат» и «Трамплин Электроникс» договорились о сотрудничестве, Хи-Квадрат, 01:03, 18.04.2026, Россия387

Компания «Хи-Квадрат», разработчик платформы для разработки приложений и сложных бизнес-систем XSQUARE, стала партнером российской технологической компании «Трамплин Электроникс», создателя серверных процессоров «Иртыш».

«ДАКОМ М» усилил SpaceVM первым в России интегрированным проприетарным SDN‑стеком, ДАКОМ М, 01:03, 18.04.2026, Россия382

Российский разработчик «ДАКОМ М» вывел на рынок обновленную платформу виртуализации SpaceVM 7 — первую и единственную на российском рынке с полностью проприетарным SDN‑стеком SDN Flow, который входит в состав продукта и не требует отдельной лицензии.

Финал XI Всероссийской олимпиады по 3D-технологиям пройдет в Санкт-Петербурге, Ассоциация 3D образования, 01:01, 18.04.2026, Россия382

С 22 по 24 апреля 2026 года на базе Исторического парка РОССИЯ - МОЯ ИСТОРИЯ пройдет финал XI Всероссийской командной инженерной олимпиады по 3D-технологиям среди школьников 5-11 классов.

PUNKT E консолидирует рынок, приобретая операторский бизнес Sitronics Electro, PUNKT E, 01:01, 18.04.2026, Россия434
PUNKT E приобрела международный операторский бизнес Sitronics Electro у Sitronics Group.

Представители Санкт-Петербургского регионального отделения Союза машиностроителей России вместе со студентами СПТЖТ побывали на экскурсии в сервисном локомотивном депо, ООО ЛокоТех-Сервис, 01:00, 18.04.2026, Россия422
Представители Санкт-Петербургского регионального отделения Союза машиностроителей России вместе со студентами СПТЖТ побывали на экскурсии в сервисном локомотивном депо