С 4 по 9 августа в Лас-Вегасе проходили две крупнейшие в мире конференции по техническим аспектам безопасности BlackHatи Defcon, которые собрали, по некоторым данным, 8500 и 15000 посетителей соответственно. В этом году специалисты DigitalSecurityвыступили с презентацией на BlackHatи приняли участие в DefconCTF, крупнейшем соревновании по захвату флага, где требуются практические навыки по реверс-инжинирингу, эксплуатации, тестам на проникновение и защите от удаленных атак. По результатам соревнования сборная российская команда заняла 4 место, обойдя многих сторожил данного мероприятия, что является достойным результатом для первого раза.

Доклад Александра Полякова о новых угрозах безопасности J2EEдвижка платформы SAPNetWeaverеще до выступления вызвал большой резонанс в мировой прессе. После самого выступления, которое было высоко оценено слушателями и иностранными коллегами, данная новость была также широко освещена ведущими мировыми изданиями, такими как CIO, PCWORLD, ItProPortal,  CbrOnlineи многими другими, а также на внутреннем портале компании SAP.

Внимание прессы было уделено новой уязвимости, позволяющей манипулировать HTTPзаголовками для обхода аутентификации в WEB-приложениях SAP. Таким образом, например, при посылке запроса HEADвместо GETна интерфейс одного недокументированного приложения можно было выполнять практически любые действия в системе.  Пример, который был продемонстрирован на конференции, показывал, как в системе анонимным запросом  создавалась учетная запись с административными привилегиями, что могло быть использовано злоумышленником в дальнейшем для получения любых критичных данных и полного контроля над системой. Другое уязвимое приложение позволяет устроить атаку отказа в обслуживании, перезаписав любой файл в системе.

На данный момент компания SAPзакрыла обнаруженную уязвимость только в двух приложениях, но по результатам исследований DSecRG потенциально уязвимы еще более 40 различных приложений SAP, а также приложения, разработанные пользователями. На сегодня не существует патчей, позволяющих защититься от проблемы в целом на уровне архитектуры, таким образом, необходимо анализировать каждый компонент (J2EEapplication) в отдельности, но DigitalSecurityсовместно с SAPработает над этим вопросом.

Помимо выступления, Александр дал интервью издательству Reuters, а также прокомментировал ситуации безопасности SAP в видео-интервью порталу InfosecIsland.

На русском языке подробности выступления будут освещены в следующем номере журнала InformationSecurity,  а также на круглом столе Risspaв рамках конференции InfoSecurity.

На английском языке презентация и подробности исследования доступны на ERPscan.ru