SAP настаивает на исправлении опасных ошибок безопасности HANA перед тем, как взломать хакеров
Крупнейший в Европе производитель программного обеспечения SAP заявил во вторник, что он исправил уязвимости в своем последнем программном обеспечении HANA, которое потенциально представляло большой риск дать хакерам контроль над базами данных и бизнес-приложениями, используемыми для запуска крупных многонациональных компаний. Хотя хаки на телефонах, веб-сайтах и компьютерах, на которые ежедневно опираются потребители, захватывают заголовки, уязвимости в программном обеспечении для крупных компаний становятся более прибыльными для злоумышленников, поскольку эти инструменты хранят данные и выполняют транзакции, которые являются жизненной основой бизнеса. Согласно последним из слабых мест безопасности, известных в отрасли как «нулевые» уязвимости, они относятся к числу наиболее важных из когда-либо найденных в HANA — движке, который управляет новейшей базой данных, облаком и другими более традиционными бизнес-приложениями SAP, по данным компании Onapsis, которая раскрыла эти проблемы.
Программное обеспечение SAP выступает в качестве корпоративного водопровода для многих транснациональных корпораций, и компания утверждает, что 87 процентов из 2000 крупнейших мировых компаний являются клиентами.
Onapsis сказал, что уязвимости лежат в компоненте HANA, известном как «User Self Service» (USS), который позволит злонамеренным инсайдерам или удаленным атакующим полностью скомпрометировать уязвимые системы без каких-нибудь допустимых имен пользователей и паролей.
Он сообщил о 10 уязвимостях HANA для SAP менее 60 дней назад, которые немецкий производитель программного обеспечения установил в рекордные сроки, согласно опросам руководителей обеих компаний.
Итоговый патч, выпущенный SAP во вторник, был оценен им как 9,8 по шкале 10, «очень высокий» с точки зрения относительного риска для его клиентов. На этой неделе SAP выпускает пять исправлений HANA, чтобы зафиксировать ряд уязвимостей, обнаруженных в последние месяцы.
«SAP проделал большую работу, выпустив исправления гораздо быстрее, чем в прошлых ситуациях», — сказал в интервью Reuters главный исполнительный директор Onapsis Мариано Нуньес.
Клиенты должны в свою очередь выбирать, когда применять такие патчи к программному обеспечению, которое выполняет их наиболее важные корпоративные функции, процесс, который может занять месяцы или годы, в редких случаях. Они должны сбалансировать риски безопасности с эксплуатационными требованиями.
Руководители SAP настоятельно призвали менеджеров по безопасности работать на своих клиентов с целью исправления соответствующих систем.
«Не было случая, когда клиент, который применял рекомендуемые исправления, был затронут», — сказал Сиддхартха Рао, вице-президент подразделения SAP Product Security Response, о шести годах, которые он выполнял. «В настоящее время мы ожидаем, что таких проблем не будет у многих клиентов — сказал он.
Однако в мае прошлого года Департамент внутренней безопасности США издал предупреждение клиентам SAP о необходимости срочно подключить отверстия, для которых SAP уже предлагал заплатки в 2010 году, но некоторые клиенты не смогли их принять, в результате чего десятки подверглись хакерским взломам позже.
Было обнаружено, что три десятка предприятий имеют отчетливые признаки несанкционированного доступа из-за устаревших или неправильно сконфигурированных систем NetWeaver Java, сказал Onapsis в то время.
Onapsis помогает защитить более 200 клиентов SAP от Schlumberger до Sony Corp, Westinghouse и армии США. Он также выявляет уязвимости безопасности для корпоративных клиентов в конкурирующих системах Oracle.
Предоставляя передышку для клиентов HANA, компонент USS, впервые предложенный SAP в октябре 2014 года, по умолчанию не активирован, но должен быть специально включен, сказал Onapsis.
Он выявил две компании — энергетическую компанию и розничную торговлю — где были обнаружены и устранены уязвимости. Onapsis сказал, что компании, которые не используют возможности USS, не пострадают.
Технические подробности можно найти в блогах безопасности SAP и Onapsis. Пока нет доказательств, что хакеры воспользовались до сих пор, говорят компании.
В прошлом году компания выпустила более 160 патчей, сообщает SAP. Десять процентов из них были связаны с HANA, добавил Onapsis.
Источник новости: https://www.reuters.com/article/us-cyber-sap-idUSKBN16L1FH
