Пресс-релизы //

Шпионаж, Саботаж и Фрод: на конференции BlackHat рассказали о атаках на ERP-системы

На прошедшей недавно конференции BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital Security рассказали об атаках на корпоративные бизнес - приложения, которые могут быть использованы злоумышленниками для реализации шпионажа, саботажа и мошеннических действий в отношении конкурентов. На конференции были представлены неизвестные ранее методы атак на популярные ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая является универсальной платформой для разработки кастомизированных бизнес-приложений.

Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё-равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации. В докладе Александра Полякова, технического директора Digital Security и руководителя исследовательского центра DSecRG, было уделено внимание архитектурным уязвимостям перечисленных систем, и были продемонстрированы различные методы эксплуатации этих уязвимостей. Данные уязвимости в большинстве своём просто невозможно закрыть, что влечёт за собой возможность их эксплуатации в дальнейшем.

“Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности”, - отметил Александр Поляков.

В его докладе приводился пример того, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-и летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД « Open Edge database» (Progress company), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации. Проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, не зная пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения.

Ещё один пример - это система SAP SRM, используемая среди всего прочего для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.

“Большинство из рассмотренных в докладе примеров говорит о том, что безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в Интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях. До сих пор компании тратили миллионы долларов, устраняя SOD конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников”, – отметил Александр Поляков.

Контактное лицо: Каверина Дарья
Компания: Digital Security
Добавлен: 11:24, 08.02.2011 Количество просмотров: 652

Сервис HRlink получил аттестат безопасности ФСТЭК, HRlink, 23:09, 23.03.2026, Россия408
Сервис кадрового ЭДО HRlink успешно прошел проверку на соответствие требованиям Федерального закона №152-ФЗ «О персональных данных» и получил аттестат ФСТЭК России, гарантирующий должный уровень безопасности.

«1С ПРО Консалтинг» запустил курс по разработке на платформе «1С» в НИТУ МИСиС, 1С ПРО Консалтинг, 23:07, 23.03.2026, Россия410
«1С ПРО Консалтинг» и НИТУ МИСиС стартовали обучение более ста студентов на практико-ориентированном курсе по 1С-разработке.

Axenix объявляет о запуске центра компетенций Digital CFO, Axenix, 23:07, 23.03.2026, Россия416

Консалтинговая технологическая компания Axenix запускает центр компетенций Digital CFO, который поможет бизнесу осуществить переход от учетной и контролирующей функции финансов к роли ключевого участника в реализации бизнес-стратегии компании.

«Навикон» запускает услугу внешнего кадрового ИТ-сопровождения, Navicon, 23:07, 23.03.2026, Россия408
Системный интегратор и разработчик «Навикон» поможет российскому бизнесу решить проблему кадрового дефицита с помощью новой услуги «Усиление ИТ-команд». Заказчики смогут выбрать один из форматов сотрудничества

CorpSoft24 поддержал премию «Учитель истории», CorpSoft24, 23:07, 23.03.2026, Россия402
В конце февраля 2026 года в Петербурге состоялся финал второго сезона премии «Учитель истории», организованной некоммерческой благотворительной организацией Фонд Румянцева.

UDV Group представила обновленную систему зонтичного мониторинга UDV ITM 1.9, UDV Group, 23:05, 23.03.2026, Россия398

UDV Group выпустила новую версию системы зонтичного мониторинга распределенных автоматизированных и информационных систем различного назначения, в том числе АСУ ТП UDV ITM 1.9.

Совместимость СХД BAUM-Inform с сертифицированной ФСТЭК виртуализацией zVirt обеспечит безопасную работу с большими данными, BAUM-Inform, 23:02, 23.03.2026, Россия397

Совместимость СХД BAUM-Inform с сертифицированной ФСТЭК виртуализацией zVirt обеспечит безопасную работу с большими данными

Контур.Налоговый мониторинг и платформа «Боцман» интегрированы для локального развертывания, "Группа Астра", 23:02, 23.03.2026, Россия402

Технологическая связка полностью соответствует требованиям импортозамещения и регуляторным нормам, предъявляемым к корпоративным информационным системам. Решение не требует значительных ресурсов для последующего сопровождения и позволяет заказчикам уверенно планировать развитие своей ИТ-инфраструктуры.

DST Global и Λ-Универсум представили SemanticDB — первую живую онтологическую память для симбиотического ИИ, ДСТ Глобал, 22:15, 20.03.2026, Россия590

Россия — Февраль 2026 — Российская технологическая компания DST Global совместно с исследовательским проектом Λ-Универсум объявили о выпуске SemanticDB — базы данных нового поколения, предназначенной для хранения и эволюции смыслов.

ТОМЕЗ представил новейшую цифровую систему управления коммунальной техникой на Национальном форуме технологий, техники и повышения производительности труда в ЖКХ., АО "ТОМЕЗ", 22:14, 20.03.2026, Россия393

АО «Тосненский механический завод» (ТОМЕЗ) представил новейшую систему автоматического управления коммунальной техникой. Презентация разработки прошла на Национальном форуме технологий, техники и повышения производительности труда в ЖКХ, состоявшемся 18-19 марта в Технопарке московского инновационного центра «Сколково». Организатор Форума - Министерство строительства и жилищного хозяйства РФ.

Мобильное приложение «Лайм-Займ» признано одним из лучших среди МФО, МФК «Лайм-Займ», 22:14, 20.03.2026, Россия359

Рейтинг составили специалисты сервиса Бробанк.ру на 16 марта 2026 года. «Лайм-Займ» вошел в топ-10 приложений в App Store и в топ-15 – в Google Play.

В России инвестиции в проекты транзитно-ориентированного девелопмента могут достигнуть 3,2 трлн руб., "Яков и Партнёры", 22:14, 20.03.2026, Россия353

На фоне изменений требований жителей к городской инфраструктуре и ограниченности свободных городских территорий транзитно-ориентированный девелопмент (ТОД) может стать одним из ключевых драйверов развития российских мегаполисов.

«1С-Рарус» трансформировал продажи в холдинге United Elements с 1С:CRM, 1С-Рарус, 22:14, 20.03.2026, Россия398

«1С-Рарус» автоматизировал продажи и управление проектами в холдинге United Elements, входящем в ТОП-10 дистрибьюторов климатического оборудования в России. Благодаря созданию единой цифровой среды на базе «1С:CRM ПРОФ» и «1С:Комплексная автоматизация» холдинг выстроил двухуровневую систему продаж и на треть сократил время обработки клиентских заявок.

«Хи-Квадрат» первой в России протестировала новейший российский процессор «Иртыш C632», Хи-Квадрат, 22:13, 20.03.2026, Россия403

Компания «Хи-Квадрат» первой в России провела производственные испытания нового отечественного серверного процессора «Иртыш C632». Для тестирования использовалась платформа для быстрой разработки бизнес-приложений XSQUARE.

GreenData и УрФУ будут совместно развивать практико-ориентированное образование в сфере ИТ, GreenData, 22:12, 20.03.2026, Россия340
Российский разработчик low-code платформы GreenData и Уральский федеральный университет имени первого Президента России Б. Н. Ельцина (УрФУ) объединяют усилия для развития практико-ориентированного образования.