БИЗНЕС-СЕТЬ KINETICS CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС SEC
         
ЧТО ТАКОЕ ERP? НОВОСТИ ПРАКТИКА АНАЛИТИКА УСЛУГИ ERP-СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ  
ЛЕНТА НОВОСТЕЙ
RSS-ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
МНЕНИЯ ЭКСПЕРТОВ
НОВОСТИ НА ФОРУМЕ
БЛОГ
   
ЧТО ТАКОЕ ERP?
ERP — это информационная система для идентификации и планирования всех ресурсов предприятия, которые необходимы для осуществления продаж, производства, закупок и учета в процессе выполнения клиентских заказов >>>
 
НОВОСТИ

29/04/2018

13-летний баг все еще актуален для клиентуры SAP



Эксперты американской компании Onapsis, специализирующейся на обеспечении и аудите безопасности бизнес-приложений, вновь напоминают о рисках, связанных с использованием интеграционной платформы SAP NetWeaver в дефолтной конфигурации.

Новейшая проверка показала, что 90% потребителей популярных ERP-решений SAP до сих пор не активировали заложенную в NetWeaver защиту — списки ACL (контроля доступа), или пользуются сбитыми настройками. Onapsis предупреждает, что это грозит утечкой критически важной информации и злонамеренным вмешательством в рабочие процессы.

Технология NetWeaver, облегчающая развертывание и исполнение бизнес-приложений SAP, является непременной основой всех программных продуктов этой компании. Проблема, задокументированная вендором еще в 2005 году, заключается в том, что ACL-списки, поддерживаемые всеми элементами инфраструктуры SAP, по умолчанию отключены. Это сделано умышленно, так как все предприятия различны и дефолтная активация ACL могла бы сильно затруднить клиентам установку первоначальных бизнес-приложений.

Как отметил репортер Bleeping Computer, с помощью настроек ACL можно регулировать взаимодействие основных элементов инфраструктуры SAP: Application Server (то есть бизнес-приложений), Message Server (посредников, помогающих распределять нагрузку в часы пик) и Central Instance (хранилища данных организации). Новые приложения админы регистрируют на сервере сообщений; по умолчанию этот процесс происходит на внутреннем порту 3900, доступ к которому ограничивается по IP-адресам с помощью списков ACL.

О необходимости смены дефолтного параметра в настройках серверов сообщений SAP предупредила клиентов 13 лет назад, а затем еще дважды призывала их правильно конфигурировать ACL, публикуя подробные инструкции.

«Тем не менее, этот параметр [ms/acl_info] остался заданным по умолчанию, а доступ к содержимому ACL — открытым, что позволяет любому хосту с сетевым доступом к SAP Message Server зарегистрировать Application Server в инфраструктуре SAP», — констатирует Onapsis. По словам специалистов, подобная атака с помощью вредоносного приложения позволяет полностью скомпрометировать систему на базе SAP Netweaver, модифицировать и извлекать внутреннюю информацию или вовсе остановить все рабочие процессы.

Данная уязвимость, давно пропатченная, актуальна для всех версий Netweaver и затрагивает все продукты, использующие эту технологию, в том числе новейшие ERP-решения SAP, такие как S/4HANA.

<<< Обсудить на форуме  |  Все новости >>>

НА ФОРУМАХ БИЗНЕС СЕТИ KINETICS

Последние темы на форумах:


 
О проекте Конфиденциальность Размещение рекламы Карта сайта Напишите нам! RUS / ENG
Copyright © 2005 - 2018 ERP-ONLINE.RU и Бизнес-сеть "Kinetics". All rights reserved