Мировой тур, посвящённый взлому SAP, завершён. Digital Security готовится к следующему году

02.12.2011

Специалисты Digital Security представили доклад о концепте червя, направленного на взлом SAP систем через Интернет, используя критическую уязвимость в J2EE движке на конференциях HITB в Малайзии и HackerHalted в Майами.

Доклад вызвал немало шума и был высоко оценен зарубежными коллегами. В настоящий момент времени мировой тур, посвящённый безопасности J2EE патформы SAP, завершен. Наши специалисты готовятся к следующему году, который, мы уверены, принесёт немало новых и интересных докладов.

Из пресс-релизов по прошедшим выступлениям:

“Многие клиенты SAP до сих пор не понимают, что даже одна пропущенная или незакрытая техническая уязвимость может значительно повлиять на безопасность всей компании. К настоящему моменту времени уже выпущено более 1500 SAP нот с указанием деталей уязвимостей в SAP продуктах”, - говорит Александр Поляков.

“Червь, концепт которого мы представляем, позволяет обнаружить зараженные SAP сервера и взломать их через уязвимость в J2EE движке. Далее червь подгружает на сервер боевую нагрузку в виде бэкдора. Так как сервер обычно использует доверенные RFC-соединения (trusted RFC connections) с серверами, расположенными в рамках сети компании, бэкдор, подгружаемый червем, также получает доступ ко всем доверенным соединениям. Таким образом, появляется возможность выгрузки информации о финансах, человеческих и материальных ресурсах и других критических данных. Информация о доверенных соединениях также представляет определенную ценность в случае ее распространения.

В случае если для взломанного сервера не определены доверенные соединения, червь может попробовать установить соединение с другими системами с использованием авторизационных данных, установленных по умолчанию.

Однажды проникнув на сервер, червь может оставаться необнаруженным в течение многих лет, даже после того, как уязвимость будет закрыта. Все, что необходимо в данном случае злоумышленнику, это отправлять команды на сервера, чтобы получать необходимые корпоративные данные. Кроме того, злоумышленник может переписать банковские данные и манипулировать денежными переводами”