pvl-online.kz » Новости » В SAP NetWeave выявлены множественные уязвимости
Автор публикации: admin Просмотров: 1002 Добавлен: 21-06-2016, 16:24 Комментарии: 0


В SAP NetWeave выявлены множественные уязвимости
Исследование компании Digital Security выявило многочисленные уязвимости в SAP NetWeaver, программном решении компании SAP, которое является технической основой для всех приложений SAP Business Suite. Ваагн Вардянян, исследователь департамента аудита безопасности SAP, автор работы, провел анализ безопасности JAVA-компонентов SAP NetWeaver. Сканирование проводилось по 7348 SAP-серверам, доступным через Интернет. На сервере, где проводилось исследование, было установлено около 1400 компонентов (приложений). В ходе анализа безопасности SAP NetWeaver было обнаружено множество уязвимостей, включая уязвимость разглашения информации, SQL injection, ошибку хеширования паролей. Совместное использование этих проблем безопасности в некоторых случаях дает возможность получить сначала логины пользователей, потом зашифрованные пароли, далее, вследствие неправильной реализации хеширования, – завладеть паролем любого пользователя SAP JAVA.

Если злоумышленник обнаружит одну или несколько из перечисленных уязвимостей, последствия могут быть разными. К примеру, используя только багу разглашения логинов пользователей, он может получить логины пользователей и открыть портал по адресу /irj/portal. Далее, если он начнет вводить неправильные пароли к логинам, после 3-5 попыток будут заблокированы все учетные записи, и бизнес-процессы атакуемой компании просто остановятся, пока администраторы не разблокируют их в ручном режиме.

Другой вектор атак может быть связан с SQL injection. Используя эту уязвимость, злоумышленник может отправить 3-10 веб-запросов на сервер SAP NW JAVA и запросить от базы большой объем данных. Далее, БД задействует все ресурсы сервера для удовлетворения запроса атакующего, при этом сервер перестанет отвечать на все легитимные запросы от сотрудников SAP. И перед нами – классическая картина DoS.

Кроме того, злоумышленник может просто получить любые данные, включая критичные, из БД SAP NW JAVA без организации DoS-атаки.

И, наконец, эксплуатация SQL injection позволит добыть хеши пользователей. А если будет задействована и уязвимость, связанная с ошибкой хеширования паролей, то возможно будет "в один клик" завладеть паролем администратора или бухгалтера, похитить денежные средства со счетов компании и перевести их в какой-либо банк, а также получить полную базу пользователей, доступ к персональной информации с возможностью последующей продажи.

Исследование показало, что уязвимости разглашения информации подвержено около 1013 серверов (~14% от общего числа отсканированных серверов, 7348).


Рейтинг:

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    
Другие статьи по теме:
Компания Digital Security обнаружила две критичные уязвимости в E-Business Suite, ключевом ПО для бизнеса Oracle, за что была удостоена официальной благодарности вендора. Отметим, что сотрудники компании с 2008 года регулярно находят различные проблемы безопасности в продуктах Oracle . Обе указанные уязвимости относятся к типу XXE. С помощью специально сформированных запросов с XML они позволяют читать произвольные файлы с сервера EBS...


Что произошло? 1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали HeartBleed. Насколько она опасна? Эта уязвимость позволяет читать оперативую память кусками размером до 64КБ. Причем уязвимость двусторонняя, это значит, что не только вы можете читать данные с уязвимого сервера, но и сервер злоумышленника может получить часть вашей оперативной памяти, если вы используете уязвимую


В связи с тем, что все больше украинцев пользуются международной платежной системой Paypal, ИПУ решила проверить насколько безопасна данная платежная система. В ходе исследования нами ИПУ обнаружила критическую уязвимость SQL-Injection, передает корреспондент «proIT» со ссылкой на пресс-службу партии. «Данная уязвимость позволяла получить доступ к счетам всех пользователей, зарегистрированных на PayPal.com, и соответственно проводить с ними любые манипуляции, вплоть до кражи денежных средств,


Под угрозой находятся те сайты, которые используют SSL-шифрование, это интернет-магазины, социальные сети, электронная почта, платёжные системы, сообщил "Русской службе новостей" руководитель группы исследования уязвимости "Лаборатории Касперского" Вячеслав Закоржевский...


Сотрудники компании Trustwave, которая специализируется на безопасности в сети Интернета, нашли и обезвредили сервер хакеров, на котором хранились логины/пароли от аккаунтов различных интернет-сервисов по всему миру...





Fatal error: Call to undefined function htracer_ob_end() in /var/www/pvl/data/www/pvl-online.kz/index.php on line 289