Дождались! Наши специалисты по безопасности, наконец-то, засветились на одной
из самых авторитетных хакерских ивентов. На проходящей недавно конференции
BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital
Security рассказали об атаках на корпоративные бизнес-приложения, которые могут
быть использованы злоумышленниками для реализации шпионажа, саботажа и
мошеннических действий в отношении конкурентов. Вдвойне приятно еще и то, что
один из докладчиков — Александр Поляков (aka sh2kerr) — наш постоянный автор.
На конференции были представлены неизвестные ранее методы атак на популярные
ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая
является универсальной платформой для разработки кастом бизнес-приложений.
ERP-системы представляют собой огромные программные комплексы с большим
объемом кастом-кода и различными настройками конфигурации. И хотя SAP и Oracle
регулярно выпускают обновления безопасности для своих продуктов, многие компании
все равно подвержены атакам, направленным на архитектурные уязвимости и ошибки
конфигурации. В представленном докладе было уделено внимание архитектурным
уязвимостям перечисленных систем и были показаны различные методы эксплуатации
этих уязвимостей. Самая главная опасность заключается в том, что полностью
закрыть некоторых из них данном этапе просто невозможно.
В докладе приводился пример того, как в ходе аудита в одной из компаний была
обнаружена ERP-система JD Edwards, версии 10 летней давности, которая имела
архитектурную уязвимость, позволяющую любому пользователю получить доступ ко
всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД Open
Edge, которая используется во многих компаниях из Fortune TOP 100. В данном
приложении была обнаружена глупейшая ошибка в процессе аутентификации. Проверка
хэша пароля была реализована на клиентской части, в результате чего возможна
аутентификация в систему под любым пользователем не только без знания пароля, но
и даже имени пользователя. Проблема заключается еще и в том, что данная
уязвимость так и не будет исправлена производителем по причине необходимости
переписывания всей архитектуры. Еще один пример — система SAP SRM, используемая
среди всего прочего для организации системы тендеров. В результате одной
архитектурной уязвимости любой поставщик может получить доступ к тендерам других
поставщиков, а также загрузить троянскую программу в сеть конкурента, что может
быть использовано для промышленного шпионажа.