На якая прайшла нядаўна канферэнцыі BlackHat DC 2011 даследнікі з лабараторыі DSecRG расійскай кампаніі Digital Security распавялі аб нападах на карпаратыўныя бізнэс - прыкладанні, якія могуць быць выкарыстаныя зламыснікамі для рэалізацыі шпіянажу, сабатажу і ашуканскіх дзеянняў у стаўленні канкурэнтаў. На канферэнцыі былі прадстаўленыя невядомыя раней метады нападаў на папулярныя ERP-сістэмы, такія як SAP, JD Edwards, а таксама на СКБД Open Edge, якая з'яўляецца ўніверсальнай платформай для распрацоўкі кастомизированных бізнэс-прыкладанняў.

Нягледзячы на тое, што вытворцы, такія як SAP і Oracle, рэгулярна выпускаюць абнаўленні бяспекі ў сваіх прадуктах, кампаніі ўсё-роўна схільныя нападам, накіраваным на архітэктурныя ўразлівасці і памылкі канфігурацыі. У дакладзе Аляксандра Полякова, тэхнічнага дырэктара Digital Security і кіраўніка даследчага цэнтра DSecRG, было нададзена ўвага архітэктурным уразлівасцям пералічаных сістэм, і былі прадэманстраваныя розныя метады эксплуатацыі гэтых уразлівасцяў. Дадзеныя ўразлівасці ў большасці сваім проста немагчыма зачыніць, што вабіць за сабой магчымасць іх эксплуатацыі ў наступным.

“Вельмі нешматлікія адміністратары SAP-сістэм рэгулярна ўсталёўваюць абнаўленні і вельмі мала адмыслоўцаў, якія глыбока разбіраюцца ў тэхнічных дэталях бяспечнай налады ERP-сістэм, у лепшым выпадку абмяжоўваючыся праблемамі SOD. Вось чаму мы бачым небяспечна наладжаныя сістэмы ў выніку нашых прац па аналізе абароненасці”, - адзначыў Аляксандр Палякаў.

У яго дакладзе прыводзіўся прыклад таго, як падчас аўдыту была выяўленая ўсталяваная ERP-сістэма JD Edwards версіі 10-і летняй даўнасці, якая мела архітэктурную ўразлівасць, якая дазваляе любому карыстачу атрымаць доступ да ўсіх дадзеных. Іншы прыклад архітэктурнай уразлівасці быў выяўлены ў СКБД « Open Edge database» (Progress company), якая выкарыстоўваецца ў шматлікіх кампаніях з Fortune TOP 100 companies. У дадзеным прыкладанні была выяўленая трывіяльная памылка падчас аўтэнтыфікацый. Праверка хэша пароля была рэалізаваная на кліенцкай частцы, у выніку чаго магчымая аўтэнтыфікацыя ў сістэму пад любым карыстачом, не ведаючы пароля і нават імя карыстача. Праблема складаецца ў тым, што дадзеная ўразлівасць так і не будзе выпраўленая вытворцам па чынніку неабходнасці перапісвання ўсёй архітэктуры прыкладання.

Яшчэ адзін прыклад - гэта сістэма SAP SRM, выкарыстоўваная сярод усяго іншага для арганізацыі сістэмы тэндэраў. У выніку адной архітэктурнай уразлівасці любы пастаўшчык можа атрымаць доступ да тэндэраў іншых пастаўшчыкоў, а таксама загрузіць траянскую праграму ў сетку канкурэнта, напрыклад, з мэтай прамысловага шпіянажу.

“Большасць з разгледжаных у дакладзе прыкладаў кажа аб тым, што бяспека ERP-прыкладанняў знаходзіцца на ўзроўні 10-летняй даўнасці, і з бягучай тэндэнцыяй высновы бізнэс-прыкладанняў у Інтэрнэт для абмену дадзенымі паміж філіяламі кампаній або ўзаемаадносін з пастаўшчыкамі ўсе гэтыя сістэмы сталі даступныя шырокаму кругу асоб, якія імкнуцца выкарыстаць праломы прыкладанняў у карыслівых мэтах. Дагэтуль кампаніі марнавалі мільёны даляраў, ухіляючы SOD канфлікты, і ўлічваючы, што гэта неад'емная частка бяспекі ERP, колькасць уразлівасцяў узроўня прыкладанні ўсё жа расце ў геаметрычнай прагрэсіі, як і цікавасць да гэтых сістэм у зламыснікаў”, – адзначыў Аляксандр Палякаў.

рэкамендуем прачытаць таксама

• Каманда Metasploit і Digital Security прадставілі на BlackHat 2009 прылада для аналізу абароненасці Oracle
• Digital Security: «Бяспека Oracle вачамі аўдытара: напад і абарона»
• 30-31 жніўня на фэсце Chaos Constructions’2008 будуць праходзіць семінары
• Red Hat паведаміла аб стварэнні супольнасці OSS-security
• Заснавальнік MySQL стварае альянс Open Database Alliance

Каментаванне не дазволенае.