Автор Тема: А будут ли?Через неделю половина SAPсистем, доступных из Интернет будут взломаны  (Прочитано 22290 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
Ну вот сидишь теперь и думаешь а кому оно надо то... кто там чего ломать будет... опять же я так понял это дырка в джаве, но заголовок то?! Впечатляет...

Цитировать
Через неделю половина SAPсистем, доступных из Интернет, будут взломаны
    
4-го августа на крупнейшей  международной конференции по взлому и защите компьютерных систем – BlackHatUSA 2011, которая пройдет в Лас Вегасе,  технический директор Александр Поляков  из Российской компании DigitalSecurity покажет, как любой злоумышленник сможет получить доступ к системам под управлением SAPиз сети Интернет, используя новый класс уязвимостей.
Системы SAPиспользуются в более чем  ста тысячах крупнейших мировых компаний для обработки критичных для бизнеса данных и процессов. Практически в каждой компании из Forbes 500 установлены данные системы для обработки  любого процесса, начиная от закупки и  управления персоналом изаканчивая финансовой отчетностью и связью с другими бизнес-системами. Таким образом, получение злоумышленником доступа к данной системе влечет за собой полный контроль над финансовыми потоками компании, что может быть использовано для шпионажа, саботажа и мошеннических действий в отношении взломанной компании.
Данный взлом возможен из–за особо опасной уязвимости нового типа, обнаруженной Александр Поляковым  в JAVA-движке программного обеспечения SAP, которая позволяет с помощью двух запросов к системе создать в ней пользователя и назначить ему права администратора. Опасность также заключается в том, что атака возможна даже на системы, защищенные системами двухфакторной аутентификации, в которых для доступа нужно знать секретный ключ и пароль.
Для доказательства исследователями из компании DigitalSecurity была написана программа, которая обнаруживает  серверы SAP в Интернет при помощи секретной поисковой строки в Googleи проверяет обнаруженные серверы на опасную уязвимость. В результате этого оказалось, что более половины из доступных серверов   можно взломать при помощи обнаруженной уязвимости.
Опасность заключается еще и в том, что это не просто новая уязвимость, а целый класс уязвимостей, и нами пока обнаружено только несколько примеров в стандартной конфигурации системы, но так как каждая компания кастомизирует систему под свои бизнес-процессы, то новые примеры уязвимостей данного класса могут быть потенциально  обнаружены в будущем у каждой компании.  Мы разработали программу, которая является модулем нашего продукта ERPScan сканер безопасности SAP, которая может обнаруживать уникальные уязвимости данного типа для того, чтобы компании могли вовремя защититься. Данный модуль будет также отдельно доступен бесплатно на сайте компании”,– отметил Александр Поляков,  технический директор компании Digital Security.
Оригинал:  You are not allowed to view links. Register or Login

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
И в продолжении темы:
Цитировать
Питерская компания Digital Security (специализируется на аудите безопасности и разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP немецкого вендора. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.

Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.

Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google “inurl:/irj/portal”. Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.

Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. “Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, - говорит Поляков. - Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет”.

Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. “В результате оказалось, что взломать можно более половины из доступных серверов” - оценивают исследователи.

“Обход механизма аутентификации происходит без атаки по типу “переполнение буфера”, - поясняет Поляков. - В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя”.

“Digital Security, как партнеры SAP, получают для исследования исходные коды, - говорит CNews гендиректор занимающейся аналогичным аудитом “Диалог-науки” Виктор Сердюк. - В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности”.

На момент выхода материала в SAP не ответили на вопросы CNews.
Оригинал: You are not allowed to view links. Register or Login

Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
Ну вот сидишь теперь и думаешь а кому оно надо то... кто там чего ломать будет... опять же я так понял это дырка в джаве, но заголовок то?! Впечатляет...
Оригинал:  You are not allowed to view links. Register or Login
Это да....
Мой You are not allowed to view links. Register or Login

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
Мда.. как понимаю так до сих пор этой половины система и не взломали... значит не судьба... :P

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
Так сказать идем дальше... таки действительно оказалось что как того неуловимого Билли, так и эти страшно жуткие рассказки про 50% ломаные системы, не нашли отклика у пользователей, паника не поднялась, всем все пофиг, а потому что ну нафиг кому чего ломать, если дешевле это купить у первоисточника. Поэтому пацаны из ERPScan, решили копать дальше:
Цитировать
Спустя 2 месяца с момента публикации доклада о критической уязвимости в J2EE движке SAP, не все смогли оценить ее критичность, несмотря на то, что данная уязвимость представляет крайне серьезную угрозу безопасности SAP. Это указывает на то, что напрямую ей подвержены только системы на основе JAVA, которые зачастую не хранят критичные данные как, например, ERP или BI, а используются для связи этих систем.
Ну и дальше по тексту:
Цитировать
В новом докладе, который будет представлен на конференции HITB в Малайзии, специалисты ERPScan покажут прототип червя под кодовым именем SAPacalypse, который используя уязвимость в SAP NetWeaver JAVA-сервере, доступном из интернет, подключается к доверенным ABAP-серверам во внутренней сети, которыми уже могут быть ERP,CRM,BI и прочие. После чего, вирус ворует из этих систем критичные данные, а также данные для подключения к другим доверенным серверам и так далее. Учитывая глубокую интеграцию бизнес-процессов и, как следствие, связность внутренних систем через внутренние линки, это позволит проникнуть практически во все системы компании через единственную уязвимость.
Мы надеемся, что этот доклад станет очередным стимулом для компаний закрыть данную критичную уязвимость, а также, что наиболее важно, проанализировать свои системы на безопасность в комплексе.
Короче я так и не понял на что они там надеются, что все таки группа Anonymous услышит их призывы и перестанет заниматься всякой фигней типа взломов сети компании SONY, сайтов пентагона и переключится на SAP-системы? Особенно учитывая глубокую интеграцию и т.д. ну так я не знаю.. ну денег что ли им там как-то перечислите, там такие в этой Anonymous зверюки, что они вам что хочешь сломают и никакие анализы ваших систем безопасности вам не помогут  :P.

Оригинал: You are not allowed to view links. Register or Login

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
Так сказать в продолжении темы, если кому будет интересно: You are not allowed to view links. Register or Login

Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Обложка документа на SDN порадовала... типа, крути педали, пока не дали ;D
Мой You are not allowed to view links. Register or Login

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
Цитировать
В новом докладе, который будет представлен на конференции HITB в Малайзии, специалисты ERPScan покажут прототип червя под кодовым именем SAPacalypse, который используя уязвимость в SAP NetWeaver JAVA-сервере
Еще раз вчитался... в это предложение... а че прикольно пацаны решили сделать.. написать червя, потом его случайно выпустить, ну раз без них так никто ничего и не сделал в этом направлении, а потом радостно выступить спасителями человечества...

Оффлайн Nexus

  • Дьюри бачи - йов эмбер
  • Administrator
  • Newbie
  • *****
  • Сообщений: 32
  • Репутация: +6/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
З.Ы продолжение темы
подкаст на ESET You are not allowed to view links. Register or Login

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
You are not allowed to view links. Register or Login
З.Ы продолжение темы
подкаст на ESET You are not allowed to view links. Register or Login
Да знаешь я детстве ассемблером так сказать работал, но в голове у меня бы такого даже не возникло бы, написать, ну скажем так прототип вируса, потом его продемонстрировать, где-то на конференции, а потом предложить всем еще и антивирус от этого вируса, причем на конференции он бы пошел по 5, ну потому что это был бы антивирус от прототипа вируса, а вот после конференции, уже пошел бы по 8...  >:( в общем пацаны так классно устроились.

PS: Чем-то мне каспера напоминают, хотя там только на уровне слухов... а тут вот же даже не боятся, демонстрируют прототип червяка ломающего SAP-систему... круто, круто.. отвечать интересно тоже будут если их прототипом что-то сломают?! Или упадут на мороз типа мы предупреждали... ну и вот...
« Последнее редактирование: Апрель 09, 2012, 05:03:38 pm от Uukrul »

Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
PS: Чем-то мне каспера напоминают, хотя там только на уровне слухов...
Было тоже на уровне слухов про две болгарские фирмы...
А пусть для начала червячка service.sap.com скормят - эффект гарантирован :o
Гнездо и все клиенты будут в ажиотаже
Мой You are not allowed to view links. Register or Login

Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
З.Ы продолжение темы
подкаст на ESET You are not allowed to view links. Register or Login
ПИАР акция продолжается You are not allowed to view links. Register or Login
Уже Кувейт пугают ;D
Мой You are not allowed to view links. Register or Login

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
You are not allowed to view links. Register or Login
ПИАР акция продолжается You are not allowed to view links. Register or Login
Уже Кувейт пугают ;D
Честно даже обсуждать больше не хочется. Пацаны все делают, чтобы ну хоть кто-то сломал что-то и где-то, а они потом могли бы сказать вот видите, а мы еще в 17-дцатом году предупреждали и показали, как это делается... Короче они СУКИ, потому ах мы нашли дырку и ах мы три месяца про нее обещаем не рассказывать, но потом надо же нам как-то пиарится, так что вы уж извините расскажем, покажем и даже презентацию проведем для тупых, кто не понял как эту дырку можно использовать.

PS: А вообще то что они делают, типичны шантаж...
« Последнее редактирование: Май 24, 2012, 01:27:06 pm от Uukrul »

Sapforum.Biz