Благодаря специалистам из Digital Security закрыта опасная уязвимость в JAVA-машине

22.10.2012

Digital Security получила благодарность от компании Oracle за помощь в закрытии опасной уязвимости в JAVA-машине. Подобную уязвимость Александр Поляков, технический директор Digital Security, представил публике летом на конференции BlackHat: она была обнаружена в JVM, используемой в платформе SAP NetWeaver. Почти сразу же эта проблема, как уже сообщали Digital Security, нашлась в виртуальной машине JVM от Oracle и в относительно краткие сроки была устранена благодаря сотрудничеству специалистов исследовательской лаборатории Digital Security с Oracle.

Уязвимость класса SSRF (в данном случае эксплуатировался метод XXE Tunneling) позволяет проксировать злонамеренные запросы через уязвимый хост и таким образом проводить продвинутые атаки.

«Данный тип атак очень интересен, и в ходе последних работ по тестам на проникновение наш отдел аудита выявляет данные проблемы практически в каждой системе, будь то интернет-банкинг или корпоративный портал на основе SAP. А ведь это означает возможность не только скомпрометировать целевую систему, но и проникнуть внутрь корпоративных ресурсов к таким системам, как АБС, ERP и прочие, связанные с внешними системами», – отметил руководитель отдела аудита ИБ Алексей Тюрин.

«На самом деле тема SSRF-уязвимостей гораздо шире. На конференции POC в Сеуле 8 ноября мы представим их новую классификацию. Кстати, на конференции ZeroNights, которая пройдет 19 и 20 ноября в Москве, тема SSRF будет рассмотрена еще как минимум в двух докладах других исследователей, что позволит слушателям получить более широкое представление о деталях и особенностях различных векторов SSRF-атаки. В целом, уязвимости данного класса сейчас являются одним из наиболее интересных направлений исследований безопасности», – добавил Александр Поляков.