Российские эксперты: Через "дыру" в СУБД SAP можно украсть все данные компании
19 июнь 2015 19:00 #18461
от ICT
Уязвимость Ключевой продукт компании SAP — платформа SAP HANA — содержит уязвимость, позволяющую злоумышленникам легко получить доступ к логинам и паролям пользователей и обрабатываемой информации. Об этом на конференции Black Hat Sessions XIII в Нидерландах рассказал технический директор российской компании Digital Security Александр Поляков. На мероприятии он выступил от лица ERPScan — калифорнийской «дочки» Digital Security, специализирующейся на поиске уязвимостей в системах управления ресурсами предприятий. SAP HANA (High performance ANalytic Appliance) — программно-аппаратное решение для управления базами данных, выпускаемое компанией SAP с 2011 г. Оно предназначено для обработки больших объемов информации в режиме реального времени. Суть проблемы По словам Полякова, проблема заключается в том, что заказчики SAP HANA не меняют статический мастер-ключ, который в каждой инсталляции платформы HANA один и тот же во всем мире. Завладев этим ключом, хакер может получить доступ ко всем данным на платформе. Как пояснил CNews директор департамента аудита SAP в компании Digital Security Дмитрий Частухин, получить ключ шифрования можно путем анализа программного кода и проведения исследований. Специалисты Digital Security воспользовались именно этим методом и смогли расшифровывать данные на других серверах, используя найденный ключ. «Самое главное, что для расшифровки файла далеко не всегда нужно обладать высокой квалификацией», — добавил он. In-Memory не спасает от хакеров SAP HANA использует технологию In-Memory, позволяющую значительно повысить скорость обработки данных. Основным элементом платформы является одноименная база данных SAP HANA, которая полностью находится в оперативной памяти сервера (отсюда и название технологии). «Люди думают, раз SAP HANA — это база данных In-Memory, на жестких дисках никакой информации не хранится. Но на самом деле все не так замечательно. В действительности некоторые данные находятся на дисках», — объяснил Поляков. Дело в том, что система резервирует данные из оперативной памяти на диск на тот случай, если произойдет какой-либо сбой.
Уязвимость в ключевом продукте SAP дает доступ ко всем данным «Никто не меняет ключ» «К этим данным, например, относятся данные некоторых технических аккаунтов, пароли и ключи для дешифровки точек сохранения. Все они находятся в хранилище под именем hdbuserstore. Это хранилище — простой файл на диске. Он зашифрован при помощи алгоритма 3DES с использованием статического мастер-ключа. Если вы получите доступ к этому файлу и дешифруете его, используя статический мастер-ключ (один и тот же для всех инсталляций), у вас будут пароли пользователей системы и ключи для дешифровки данных на дисках. После этого вы сможете получить доступ ко всем данным». В документации к SAP HANA говорится, что заказчик должен сменить статический мастер-ключ, но никто этого не делает. По словам Полякова, все из опрошенных компанией ERPScan клиентов, то есть 100% предприятий, продолжают пользоваться заводским ключом для шифрования hdbuserstore. «Вендорам следует заставлять клиентов менять ключ во время установки, а не прятать эту рекомендацию в инструкции объемом 160 страниц», — заявил техдиректор Digital Security. Популярность SAP HANASAP HANA — популярная в корпоративном секторе платформа. По данным сайта Business Insider, ею пользуются свыше 6,4 тыс. компаний во всем мире, главным образом в сферах производства, финансов, информационных технологий, коммунальных услуг и розничных продаж. Согласно SAP HANA, число активных пользователей платформы превышает 815 тыс. человек. Все это делает безопасность решения ключевым аспектом. Распространенная проблема «Статические ключи и слабые алгоритмы шифрования — распространенные проблемы в сфере корпоративного ПО, такого как ERP-системы. Недавно наши специалисты обнаружили критическую уязвимость в механизме генерации токенов в продукте Oracle PeopleSoft. Более 200 коммерческих решений уязвимы к этой атаке», — добавил Поляков. Уязвимость в Oracle PeopleSoft Суть этой «дыры» заключается в том, что некоторые компоненты ERP-системы PeopleSoft поддерживают вход через интернет, при этом в некоторых случаях посетителю не нужно регистрироваться, например, чтобы попасть на страницу восстановления пароля или в форму подачи резюме на вакансию. Для доступа к этим разделам в PeopleSoft существует специальная учетная запись с минимальными правами. Механизм доступа основан на аутентификационном куки — TokenID, — генерируемом на основе алгоритма хэширования SHA1. Используя видеокарту за $500, злоумышленник может в течение одного дня расшифровать TokenID и повысить свои привелегии в системе. Другие уязвимости, найденные Digital Security Digital Security со штаб-квартирой в Москве неоднократно сообщала об обнаружении уязвимостей в продуктах SAP. В 2011 г. аналитики компании обнаружили критическую уязвимость в ядре ERP-системы, а в 2013 г. — первый троян , имеющий отношение к этому продукту. Digital Security ищет «дыры» и в решениях других популярных поставщиков. Например, в ноябре 2014 г. компания сообщила об обнаруженной ею уязвимости в приложениях «Лаборатории Касперского», McAfee и Avast Software. Ссылка на источник
Уязвимость в ключевом продукте SAP дает доступ ко всем данным «Никто не меняет ключ» «К этим данным, например, относятся данные некоторых технических аккаунтов, пароли и ключи для дешифровки точек сохранения. Все они находятся в хранилище под именем hdbuserstore. Это хранилище — простой файл на диске. Он зашифрован при помощи алгоритма 3DES с использованием статического мастер-ключа. Если вы получите доступ к этому файлу и дешифруете его, используя статический мастер-ключ (один и тот же для всех инсталляций), у вас будут пароли пользователей системы и ключи для дешифровки данных на дисках. После этого вы сможете получить доступ ко всем данным». В документации к SAP HANA говорится, что заказчик должен сменить статический мастер-ключ, но никто этого не делает. По словам Полякова, все из опрошенных компанией ERPScan клиентов, то есть 100% предприятий, продолжают пользоваться заводским ключом для шифрования hdbuserstore. «Вендорам следует заставлять клиентов менять ключ во время установки, а не прятать эту рекомендацию в инструкции объемом 160 страниц», — заявил техдиректор Digital Security. Популярность SAP HANASAP HANA — популярная в корпоративном секторе платформа. По данным сайта Business Insider, ею пользуются свыше 6,4 тыс. компаний во всем мире, главным образом в сферах производства, финансов, информационных технологий, коммунальных услуг и розничных продаж. Согласно SAP HANA, число активных пользователей платформы превышает 815 тыс. человек. Все это делает безопасность решения ключевым аспектом. Распространенная проблема «Статические ключи и слабые алгоритмы шифрования — распространенные проблемы в сфере корпоративного ПО, такого как ERP-системы. Недавно наши специалисты обнаружили критическую уязвимость в механизме генерации токенов в продукте Oracle PeopleSoft. Более 200 коммерческих решений уязвимы к этой атаке», — добавил Поляков. Уязвимость в Oracle PeopleSoft Суть этой «дыры» заключается в том, что некоторые компоненты ERP-системы PeopleSoft поддерживают вход через интернет, при этом в некоторых случаях посетителю не нужно регистрироваться, например, чтобы попасть на страницу восстановления пароля или в форму подачи резюме на вакансию. Для доступа к этим разделам в PeopleSoft существует специальная учетная запись с минимальными правами. Механизм доступа основан на аутентификационном куки — TokenID, — генерируемом на основе алгоритма хэширования SHA1. Используя видеокарту за $500, злоумышленник может в течение одного дня расшифровать TokenID и повысить свои привелегии в системе. Другие уязвимости, найденные Digital Security Digital Security со штаб-квартирой в Москве неоднократно сообщала об обнаружении уязвимостей в продуктах SAP. В 2011 г. аналитики компании обнаружили критическую уязвимость в ядре ERP-системы, а в 2013 г. — первый троян , имеющий отношение к этому продукту. Digital Security ищет «дыры» и в решениях других популярных поставщиков. Например, в ноябре 2014 г. компания сообщила об обнаруженной ею уязвимости в приложениях «Лаборатории Касперского», McAfee и Avast Software. Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.