Компания Digital Security, специализирующая на анализе защищенности систем и исследованиях в области ИБ, сообщила об обнаружении серьезной проблемы безопасности в SAP HANA. Из-за того, что в системе защиты платформы имеются недоработки, злоумышленники потенциально могут получить доступ к паролям пользователей системы и ключам шифрования, а после этого — ко всем данным предприятия, которые обрабатывает данное решение.
На сегодняшний день, SAP HANA (High performance ANalytic Appliance) является ключевым продуктом компании SAP. Эта платформа для управления базами данных предназначена для обработки больших объемов информации в режиме реального времени. Пользователями данного решения являются тысячи компаний по всему миру, в том числе, входящие в список Fortune 100. Согласно SAP HANA, число активных пользователей платформы из сферы производства, финансов, ИТ и розничных продаж превышает 815 тыс. человек.
Суть проблемы заключается в том, что заказчики SAP HANA не меняют статический мастер-ключ, который в каждой инсталляции платформы HANA один и тот же во всем мире. Завладев им, хакер может получить доступ ко всем данным на платформе. Специалистам Digital Security удалось получить статический ключ во время проведения исследований и анализа программного кода данного решения. Воспользоваться наличием существующей проблемы и получить доступ к конфиденциальным данным могут злоумышленники, атакующие как клиента SAP-системы, так и сервер. Получив доступ к зашифрованной информации, хакеру не составит труда попасть в HANA-систему.
Проблема была обнаружена Дмитрием Частухиным, директором департамента аудита SAP, год назад, и впервые упомянута на конференции Confidence в Польше в рамках доклада «All your SAP Passwords belong to us».
Корпорация SAP была уведомлена о наличии бреши в системе защиты. Однако, до сих пор проблема не устранена. Дмитрий Частухин вновь подробно рассказал о ней на состоявшейся недавно конференции Black Hat Sessions XIII в Нидерландах.
«Статические ключи и слабые алгоритмы шифрования — распространенные проблемы в сфере корпоративного ПО, включая ERP-системы. Недавно наши специалисты обнаружили критическую уязвимость в механизме генерации токенов в продукте Oracle PeopleSoft. Более 200 коммерческих решений уязвимы к этой атаке», — отметил г-н Частухин.