Взломать системы SAP - нет ничего проще

На проходящей в Лас-Вегасе крупнейшей международной конференции по взлому и защите компьютерных систем BlackHat 2011 был показан способ, с помощью которого любой злоумышленник через интернет сможет получить доступ к системам под управлением SAP, используя новый класс уязвимостей. Автором этого демонстрационного взлома стала компания Digital Security.

По словам специалистов, уязвимость обнаружена в Java-движке ПО SAP: она позволяет с помощью двух запросов к системе создать в ней пользователя и назначить ему права администратора. Проблем добавляет тот факт, что взломать систему можно, даже если использовать секретный ключ и пароль.

В качестве доказательства своей находки Digital Security разработала приложение, которая обнаруживает серверы SAP в интернете посредством секретной поисковой строки в Google и проверяет найденные серверы на опасную уязвимость. В некоторых случаях удается создать фальшивые учетные записи для доступа к системам и хранящимся там секретным корпоративным данным. Кроме того, эксперты говорят, что в рамках данного взлома можно без проблем удалить информацию с базы данных.

В SAP пока не дают никаких комментариев по данной уязвимости.



По материалам Reuters.com

Источник: DailyComm