Меню

В SAP HANA закрыта лазейка для полного доступа

SAP пропатчила ряд критических уязвимостей в облачной бизнес-платформе HANA; их эксплойт позволяет без аутентификации полностью скомпрометировать систему.

SAP_patches

SAP пропатчила ряд критических уязвимостей в облачной бизнес-платформе HANA; их эксплойт позволяет без аутентификации полностью скомпрометировать систему.

Исследователи предупреждают, что при использовании в связке эти бреши могут повлечь кражу конфиденциальной информации, финансовое мошенничество и дестабилизацию ключевых бизнес-процессов, не требуя при этом наличия легитимного имени пользователя и пароля к СУБД HANA. Автор атаки сможет модифицировать информацию в базе данных, в том числе платежные реквизиты, и изменить HTML-код для любого сайта, использующего HANA XS.

Закрываемые уязвимости крылись в компоненте User Self Service (USS), помогающем пользователям выполнять такие задачи, как создание аккаунта или восстановление пароля. По умолчанию этот сервис отключен, но некоторые пользователи его активируют, чтобы обеспечить доступ к дополнительным возможностям аутсайдеров. В этом случае USS оказывается открытым из Интернета.

Согласно Onapsis, некоторые из этих багов существовали со времени ввода USS в строй, то есть примерно два с половиной года. Первоначально они были обнаружены в HANA 2, появившейся в ноябре, однако USS-инструменты используются также в других продуктах SAP, поэтому исследователи полагают, что кроме самой HANA данная проблема может затрагивать также S/4, пакет Business Suite на базе HANA и некоторые облачные приложения.

«Этот уровень доступа позволяет злоумышленнику выполнять любые действия с бизнес-данными и процессами, поддерживаемыми HANA, в том числе создавать, похищать, изменять и/или удалять конфиденциальную информацию», — заявил во вторник Себастьян Бортник (Sebastian Bortnik), возглавляющий исследования в Onapsis.

Свидетельств злонамеренной эксплуатации уязвимостей не найдено, однако тот факт, что они просуществовали itw почти 29 месяцев, «существенно повышает вероятность» того, что их уже обнаружили и взяли на вооружение, уверен Бортник. «Даже если этот сервис отключен, мы все равно рекомендуем организациям установить патчи на тот случай, если в дальнейшем система будет изменена», — советует эксперт.

Пока не появились заплатки, Onapsis помогала компаниям принять временные меры защиты; в некоторых организациях USS оказался включенным. SAP пропатчила этот компонент HANA менее чем через два месяца после получения отчета от Onapsis. Мартовский выпуск также включает патчи для 24 других уязвимостей. Проблеме в USS, оцененной в 9,8 балла по шкале CVSS, назначен очень высокий приоритет. Остальные устраненные баги относятся к классам «фиксация сессии», DoS, XSS и SQLi.

По данным Onapsis, уязвимость в USS затрагивает следующие HANA-системы (в том случае, если эта служба включена):

  • SAP HANA SPS09 (1.00.91.14118659308);
  • SAP HANA SPS10 (1.00.101.00.1435831848);
  • SAP HANA SPS11 (1.00.110.144775);
  • SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057) и выше;
  • SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437).

Около года назад американская CERT опубликовала предупреждение, впервые заговорив об опасности использования устаревших или плохо сконфигурированных бизнес-систем производства SAP. На тот момент речь шла о неутихающих атаках на приложения и компоненты, созданные на основе Java-фреймворка этой компании.