Рис. В SAP HANA компании обычно хранят наиболее ценную корпоративную информацию

Уязвимость относится к категории SQL-инъекций (CWE-89) и традиционно связана со слабой фильтрацией спецсимволов в SQL-запросе. Она позволяет удаленному атакующему с помощью специально подготовленного запроса получить доступ к критической информации и даже получить административные полномочия по доступу к системе. Уязвимой является версия S4CORE 107, однако эксплойта для уязвимости в открытом виде еще не опубликовано.

Благодаря SQL-инъекции удаленный злоумышленник может хозяйничать в СУБД с правами самой системы SAP S/4HANA, – считает Аскар Добряков, ведущий эксперт направления защиты данных и приложений в «К2 Кибербезопасность». – То есть фактически получить всю информацию системы, включая бизнес-данные, а также попытаться развить атаку и получить доступ к серверу. Последствия для бизнеса могут быть значительными, так как это ERP с критичными сведениями.    

По оценкам Дмитрия Хомутова, директора Ideco, более 80% российских организаций по-прежнему используют иностранное корпоративное программное обеспечение. В этих условиях обнаруженная уязвимость сохраняет высокую актуальность. Более того, из-за ограниченного доступа к официальной поддержке и обновлениям SAP для многих компаний устранение проблемы путем стандартного обновления ПО существенно затруднено.

Обнаруженная ФСТЭК уязвимость в SAP S/4HANA актуальна для ряда крупных российских компаний, где платформа используется как ядро финансовых, логистических и управленческих процессов, – заявил TAdviser Михаил Тимаев, руководитель отдела технического пресейла IT Task. – Несмотря на уход SAP с российского рынка, часть внедрений продолжает эксплуатироваться, но без регулярных обновлений и с ограниченными возможностями получения патчей, что автоматически повышает уровень риска.    

Обнаруженная уязвимость является критической, однако есть нюанс. По словам Александра Колесова, руководителя направления развития и исследований «Бастион», чтобы ее проэксплуатировать, злоумышленнику необходимо решить следующие проблемы:

• Получить доступ во внутренний контур предприятия. Поэтому атака может быть инсайдерской или злоумышленник должен получить доступ во внутренний периметр другим образом;
• Получить хотя бы минимальные права доступа к системе, поскольку уязвимость эксплуатируется в контуре системы, где необходимо иметь авторизацию.

Риск массового заражения через интернет отсутствует, – заявил для TAdviser Тимур Цыбденов, ведущий инженер по продукту компании «Газинформсервис». – Однако это не снижает критичности последствий ее успешной эксплуатации в рамках одной организации. Угроза наиболее актуальна для сценариев целенаправленных, злонамеренных действий сотрудников, подрядчиков и других лиц с внутренним доступом или атак, исходящих от инсайдеров, которые уже имеют определенный уровень легитимного доступа к системе.    

Фактически уязвимость может стать частью целенаправленной атаки во время так называемого «горизонтального перемещения» внутри атакованной инфраструктуры, где злоумышленники могут воспользоваться ее для доступа к ценным корпоративным данным. По словам Кирилла Левкина, проджект-менеджера MD Audit, для крупных компаний, где в основном и внедрялся в свое время SAP, последствия могут быть крайне чувствительными - от утечек коммерческих данных до вмешательства в бизнес-процессы.

Алексей Варлаханов, руководитель отдела прикладных систем Angara Security, рекомендует пользователям уязвимых продуктов в случае отсутствия возможности оперативно обновить систему, выполнить хотя бы следующие действия:

• Ограничьте доступ через межсетевые экраны (блокировка внешних IP);
• Сегментируйте сеть, если это не было сделано ранее (изоляция SAP в демилитаризованной зоне);
• Настройте SIEM для мониторинга SQL-запросов (предупреждения об аномалиях);
• Минимизируйте привилегии пользователей и отключите неиспользуемые аккаунты;
• Используйте защищенные коммуникации для любого удаленного доступа к уязвимым системам.
• Добавьте в WAF правила против SQL-инъекций;
• Регулярно проводите пентесты для выявления и устранения уязвимостей в корпоративных системах.

Можно дополнить, что необходимо смотреть не просто на межсетевые экраны, а на решения класса DBF (Database Firewall), нацеленные на мониторинг, анализ и блокировку подозрительных SQL-запросов и вредоносной активности пользователей в режиме реального времени и позволяющие выявить нарушения с минимальным влиянием на производительность, – пояснил читателям TAdviser Андрей Мичкин, начальник отдела комплексной архитектуры Cloud Networks.

Источник: TAdviser.

Больше новостей читайте в телеграм-канале SAPLAND: Новости экосистемы.