Digital Security приняла участие в конференциях BlackHat и Defcon

30.08.2011

С 4 по 9 августа в Лас-Вегасе проходили две крупнейшие в мире конференции по техническим аспектам безопасности BlackHat и Defcon, которые собрали, по некоторым данным, 8500 и 15000 посетителей соответственно. В этом году специалисты Digital Security выступили с презентацией на BlackHat и приняли участие в Defcon CTF, крупнейшем соревновании по захвату флага, где требуются практические навыки по реверс-инжинирингу, эксплуатации, тестам на проникновение и защите от удаленных атак. По результатам соревнования сборная российская команда заняла 4 место, обойдя многих сторожил данного мероприятия, что является достойным результатом для первого раза.

Доклад Александра Полякова о новых угрозах безопасности J2EE движка платформы SAP NetWeaver еще до выступления вызвал большой резонанс в мировой прессе. После самого выступления, которое было высоко оценено слушателями и иностранными коллегами, данная новость была также широко освещена ведущими мировыми изданиями, такими как CIOPCWORLDItProPortalCbrOnline и многими другими, а также навнутреннем портале компании SAP.

Внимание прессы было уделено новой уязвимости, позволяющей манипулировать HTTP заголовками для обхода аутентификации в WEB-приложениях SAP. Таким образом, например, при посылке запроса HEAD вместо GET на интерфейс одного недокументированного приложения можно было выполнять практически любые действия в системе. Пример, который был продемонстрирован на конференции, показывал, как в системе анонимным запросом создавалась учетная запись с административными привилегиями, что могло быть использовано злоумышленником в дальнейшем для получения любых критичных данных и полного контроля над системой. Другое уязвимое приложение позволяет устроить атаку отказа в обслуживании, перезаписав любой файл в системе.

На данный момент компания SAP закрыла обнаруженную уязвимость только в двух приложениях, но по результатам исследований DSecRG потенциально уязвимы еще более 40 различных приложений SAP, а также приложения, разработанные пользователями. На сегодня не существует патчей, позволяющих защититься от проблемы в целом на уровне архитектуры, таким образом, необходимо анализировать каждый компонент (J2EE application) в отдельности, но Digital Security совместно с SAP работает над этим вопросом.

Помимо выступления, Александр дал интервью издательству Reuters, а также прокомментировал ситуации безопасности SAP в видео-интервью порталу InfosecIsland.

На русском языке подробности выступления будут освещены в следующем номере журнала Information Security, а также на круглом столе Risspa в рамках конференции InfoSecurity.

Ссылки по теме:

http://www.sdn.sap.com/irj/scn/weblogs?blog=/pub/wlg/25792

http://www.itproportal.com/2011/08/05/sap-vulnerability-dawns-at-black-hat/

http://www.cio.com/article/687249/SAP_Will_Issue_Patch_for_NetWeaver_Vulnerability

http://www.pcworld.com/businesscenter/article/237373/sap_will_issue_patch_for_netweaver_vulnerability.html

http://www.reuters.com/article/2011/08/05/us-sap-security-idUSTRE7740B420110805

http://www.darkreading.com/compliance/167901112/security/application-security/231003085/over-half-of-sap-servers-on-the-internet-are-vulnerable-to-attack-researcher-says.html

http://security.cbronline.com/news/security-expert-reveals-new-class-of-vulnerabilities-in-sap-software-050811

http://podcasts.infoworld.com/d/security/the-10-scariest-hacks-black-hat-and-defcon-170259?_kip_ipx=949115097-1314167837