Российские хакеры обнаружили критические уязвимости в SAP Mobile

24.03.2015

Оригинал: http://www.cnews.ru/top/2015/03/24/rossiyskie_hakery_obnaruzhili_kriticheskie_uyazvimosti_v_sap_mobile_594184
Автор: Денис Воейков

Российская компания Digital Security сообщила о вынужденной отмене своего выступления 26-27 марта на одной из крупнейших конференций по информационной безопасности (ИБ) — BlackHat Asia в Сингапуре.

В своем докладе под названием «Атакуя SAP Mobile» исследователь в сфере ИБ Ваагн Варданян и директор департамента аудита SAP в Digital Security Дмитрий Частухин готовились рассказать о том, как можно получить несанкционированный доступ к устройствам на мобильной платформе SAP.

Эксперты намеревались подробно описать, на что способен злоумышленник, в распоряжении которого оказались секретные данные топ-менеджера крупной компании, чье устройство интегрировано в центральные бизнес-процессы предприятия.

Речь в данном случае идет о составляющих экосистемы SAP Mobile, включая платформу SAP Mobile (ранее Sybase Unwired Platform), MDM-решение SAP Afaria, СУБД Sybase SQL Anywhere и сотни мобильных приложений SAP.

Доклад строился на примере реальных уязвимостей, обнаруженных исследователями Digital Security. Как уточнили CNews в компании, часть этих проблемных мест была найдена еще в конце 2014 г., и в отношении них в SAP уже провели соответствующие работы. О другой части уязвимостей корпорацию известили лишь месяц назад, и избавиться от них до конференции инженеры SAP не успели.

Решение об отмене доклада эксперты Digital Security приняли совместно с корпорацией SAP, в которой выявленные бреши в защите своего продукта были признаны высококритичными. Если бы они стали достоянием общественности, под угрозой могли оказаться информационные системы многочисленных клиентов вендора, среди которых почти все компании из списка Fortune 2000.

В Digital Security пояснили CNews, что обычно SAP берет на закрытие уязвимостей срок до трех месяцев, поэтому в компании рассчитывают, что все требующиеся работы завершатся в ближайшее время — определенно, до конференции BlackHat в Лас-Вегасе в августе 2015 г.

В компании указывают на то, что с SAP ее связывает договор, по которому корпорация привлекает Digital Security для тестирования защищенности предварительных версий своих продуктов.

При этом уязвимости, о которых речь идет сейчас, были найдены компанией в инициативном порядке.