Пресс-релизы // » Добавить пресс-релиз

Шпионаж, Саботаж и Фрод: на конференции BlackHat рассказали о атаках на ERP-системы

На прошедшей недавно конференции BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital Security рассказали об атаках на корпоративные бизнес - приложения, которые могут быть использованы злоумышленниками для реализации шпионажа, саботажа и мошеннических действий в отношении конкурентов. На конференции были представлены неизвестные ранее методы атак на популярные ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая является универсальной платформой для разработки кастомизированных бизнес-приложений.

Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё-равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации. В докладе Александра Полякова, технического директора Digital Security и руководителя исследовательского центра DSecRG, было уделено внимание архитектурным уязвимостям перечисленных систем, и были продемонстрированы различные методы эксплуатации этих уязвимостей. Данные уязвимости в большинстве своём просто невозможно закрыть, что влечёт за собой возможность их эксплуатации в дальнейшем.

“Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности”, - отметил Александр Поляков.

В его докладе приводился пример того, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-и летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД « Open Edge database» (Progress company), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации. Проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, не зная пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения.

Ещё один пример - это система SAP SRM, используемая среди всего прочего для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.

“Большинство из рассмотренных в докладе примеров говорит о том, что безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в Интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях. До сих пор компании тратили миллионы долларов, устраняя SOD конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников”, – отметил Александр Поляков.

Контактное лицо: Каверина Дарья
Компания: Digital Security
Добавлен: 11:24, 08.02.2011 Количество просмотров: 599


Продукты линейки СУБД ЛИНТЕР совместимы с ОС «АльтерОС», ALMI Partner, 00:54, 26.07.2025, Россия51
Компании «АЛМИ Партнер» и РЕЛЭКС успешно завершили тестирование и подтвердили полную совместимость операционной системы «АльтерОС» с линейкой СУБД ЛИНТЕР. По итогам испытаний стороны подписали сертификат совместимости, гарантирующий стабильность и корректность совместной работы решений.


Компания MONT расширила ИБ-портфель отечественной системой exploitDog, MONT, 00:52, 26.07.2025, Россия41
MONT и компания «Навигатор инновационных решений» («НИР») объявили о начале стратегического партнерства. Продуктовый портфель MONT пополнился решением exploitDog – российской системой анализа уязвимостей, ориентированной на корпоративный сектор и задачи импортонезависимости.


Ventra в списке крупнейших ИТ-компаний России, Ventra, 00:51, 26.07.2025, Россия47
Ventra вошла в топ-100 рейтинга CNews500 «Крупнейшие ИТ-компании России 2024», заняв 63 место, и показав двукратный рост в направлении ИТ-услуг.


Сервисы «Телфин» интегрированы с решениями «1С:Фитнес клуб» и «1С:Медицина. Стоматологическая клиника», Телфин, 00:19, 26.07.2025, Россия80
Провайдер коммуникационных сервисов «Телфин» расширяет число интеграций. Теперь пользователям доступны связки АТС «Телфин.Офис» с ПО «1С:Фитнес клуб» и «1С:Медицина. Стоматологическая клиника» от компании «Лаборатория программного обеспечения», что существенно повышает скорость обслуживания клиентов и качество коммуникаций.


БФТ-Холдинг и ЮНИСИСТЕМС: партнёрство в интересах цифровизации вузов, БФТ-Холдинг, 00:15, 26.07.2025, Россия96
Сотрудничество направлено на создание и продвижение комплексных решений для цифровизации высших учебных заведений, включая управление данными и НСИ, автоматизацию закупочной деятельности, комплексное управление имущественными активами и развитие цифровой образовательной среды.


GenAI без управления знаниями тормозит развитие клиентского сервиса в России, Minervasoft, 00:15, 26.07.2025, Россия104
На фоне глобального роста интереса к генеративному искусственному интеллекту (GenAI) основной сферой его применения остается клиентский сервис. По данным Unisphere Research, 45% внедрений GenAI в мире приходится на самообслуживание клиентов, 42% — на внутренние IT-службы и 38% — на поддержку с участием человека.


ПАК «Боцман Клик» включен в Репозиторий ИТ-решений для финансовой отрасли, SMART technologies, 00:15, 26.07.2025, Россия101
Программно-аппаратный комплекс «Боцман Клик», разработанный компанией SMART technologies SOFT, вошел в Репозиторий ИТ-решений для финансовой отрасли (Репозиторий АФТ).


«1С-Рарус: Управление отелем»: выпущены новые модули для СПА и распознавания паспорта, 1С-Рарус, 00:14, 26.07.2025, Россия103
«1С-Рарус» выпустил два новых модуля «1С-Рарус:Управление отелем». Модуль «СПА» предназначен для автоматизации оказания косметических и оздоровительных услуг. Ускорять процесс заселения гостей помогает новый модуль «Распознавание паспорта». В связи с расширением возможностей введены новые цены на модули и лицензии отраслевого решения.


«Кит-системс» запустил корпоративную программу стажировок, Кит-системс, 00:08, 26.07.2025, Россия95
Системный интегратор «Кит-системс» запустил программу стажировок для студентов и выпускников технических ВУЗов и колледжей столицы.


Hisense запустила массовое производство телевизоров Hisense UXQ с технологией RGB Mini-LED и диагональю 116 дюймов, Hisense, 12:42, 22.07.2025, Россия304
Как ожидается, самые большие в мире телевизоры Mini-LED с подсветкой RGB и потрясающей цветопередачей будут доступны в российских магазинах осенью 2025 года


N3COM завершила масштабную модернизацию агрегационной сети Псковского филиала ПАО «ВымпелКом», N3COM, 00:08, 26.07.2025, Россия55
Компания N3COM, разработчик и поставщик телекоммуникационного оборудования операторского класса, завершила масштабный проект по модернизации сети MEN ПАО «ВымпелКом» в Псковской области.


Российский бизнес и госструктуры смогут ускорить переход на современные цифровые сервисы и повысить кибербезопасность, "Группа Астра", 22:34, 23.07.2025, Россия242
«Группа Астра» вместе с технологической компанией YADRO строит полностью российскую альтернативу западным облачным платформам, которая позволит российским компаниям ускорить переход на цифровые сервисы. Теперь продукты «Группы Астра» стали еще удобнее, надежнее и безопаснее в облаке на базе решений YADRO.


Fork-Tech: к 2030 году объем обрабатываемых данных в финсекторе вырастет в 3-3,5 раз, Fork-Tech, 05:49, 22.07.2025, Россия337
Все большая цифровизация услуг, внедрение искусственного интеллекта, а также новые регуляторные государственные инициативы обуславливают взрывной рост данных в финансовом секторе в ближайшие пять лет.


СберТех и Аэродиск развивают российские решения для хранения и управления данными, Аэродиск, 05:48, 22.07.2025, Россия344
Российские разработчики успешно провели испытание работоспособности систем хранения данных, произведенных Аэродиском, под управлением операционной системы СберТеха.


Axenix выводит бизнес-аналитику на новый уровень с ИИ-ассистентами в платформе In.Plan, Axenix, 05:48, 22.07.2025, Россия351
Компания Axenix внедрила ИИ-ассистентов в платформу интегрированного бизнес-планирования In.Plan. Это позволит сделать работу пользователей с данными более точной, быстрой и удобной.


  © 2003-2025 inthepress.ru