Критическая уязвимость позволяет получить полный контроль над SAProuter

29.07.2013

Впервые в истории крупнейшей в мире конференции по ИБ Black Hat 2013, сейчас проходящей в Лас-Вегасе, США, уязвимость, найденная исследователями российской компании, была номинирована на звание лучшей уязвимости серверной части программного обеспечения 2013 года.

Критическая уязвимость, найденная исследователем компании Digital Security Георгием Носенко, связана с переполнением буфера в SAProuter и позволяет любому атакующему из сети Интернет получить полный доступ к системе и к внутренним серверам SAP-систем большинства организаций. Это первая и пока единственная уязвимость такого уровня критичности, обнаруженная в SAProuter. Данное приложение долгое время было практически неуязвимым.

С учетом того, что SAProuter используется огромным количеством корпоративных клиентов SAP и предназначен для получения удаленного доступа через Интернет к внутренним SAP-системам, эта уязвимость является особо опасной. Именно поэтому корпорация SAP, получив информацию о ней от Digital Security, оперативно ее устранила, выпустив соответствующее обновление и своевременно уведомив об этом своих клиентов в мае 2013 года.

Компания Digital Security рекомендует устранить данную уязвимость в кратчайшие сроки. Более подробная информация будет опубликована в августе вместе с ежегодным исследованием безопасности SAP.