Перейти к содержимому

DustBlue IPB Skin by CodeGame Networks

  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 Dichter

Dichter

    Доверенный

  • Модераторы
  • Репутация
    101
  • 137 сообщений
  • ГородЗемля
  • Депозит:0.9 BTC

Отправлено 13 June 2018 - 16:51

Предприятиям, использующим системы от немецкой компании SAP, рекомендуется изменить настройки своих серверов, поскольку установленные по умолчанию настройки позволяют злоумышленникам получать доступ к корпоративным данным.

Уязвимость связана с заводской конфигурацией программного решения SAP NetWeaver, которую на большинстве предприятий оставляют без изменений. SAP NetWeaver представляет собой связующее программное решение, являющееся основой для других программ, включая такие популярные продукты, как SAP ERP, S/4 HANA и пр.

Проблема затрагивает конфигурацию, отвечающую за передачу данных между различными компонентами инфраструктуры SAP, а именно, между Application Server (бизнес-приложениями), SAP Message Server и SAP Central Instance, где хранятся данные предприятия.

SAP Message Server играет роль посредника и выполняет балансировку нагрузки на SAP-инфраструктуру предприятия во время пиковой активности. Когда создается новое приложение, системный администратор должен зарегистрировать его (Application Server) через SAP Message Server. Процесс регистрации проходит через порт 3900.

В SAP Message Server реализована поддержка Access Control List (ACL), однако по умолчанию она отключена и системные администраторы должны сами ее активировать. Дело в том, что все предприятия разные, и будь поддержка ACL включена по умолчанию, у многих из них могли бы возникнуть проблемы с первоначальной настройкой бизнес-приложений.

Проблема с заводской конфигурацией SAP известна еще с 2005 года. В то время производитель выпустил уведомление безопасности и рекомендовал компаниям не оставлять настройки по умолчанию и как можно скорее настроить ACL, а также разрешить доступ к порту 3900 только с доверенных адресов.

В 2009 и в 2010 годах производитель выпустил еще два уведомления безопасности с дальнейшими инструкциями. Также были обнародованы исследования, проливающие свет на возможные последствия, которыми чревато использование SAP без ACL. Тем не менее, по данным ИБ-компании Onapsis, 90% ее клиентов, которым компания проводила аудиторскую проверку безопасности SAP,не менялизаводские настройки и не включали ACL.

По словам экспертов, злоумышленник со стороны или даже сотрудник предприятия может создать вредоносное приложение, зарегистрировать его в корпоративной SAP-инфраструктуре и с его помощью похищать или изменять корпоративные данные.

Access Control List – список управления доступом, определяющий, кто или что может получать доступ к объекту (программе, процессу или файлу), и какие именно операции разрешено или запрещено выполнять субъекту (пользователю, группе пользователей).





Темы с аналогичным тегами Carderplanet.pl новости, администрация Carderplanet.pl, отзывы о работе гаранта Carderplanet.pl, Carderplanet.pl отзывы о работе гаранта, Carderplanet.pl отзывы, отзывы о работе площадки Carderplanet.pl, отзывы о Carderplanet.pl, отзывы о форуме Carderplanet.pl, новости Carderplanet.pl, отзывы о работе площадке Carderplanet.pl, новости Carderplanet, администрация Carderplanet, Площадка Carderplanet, отзывы о площадке Carderplanet.pl, Торговая Площадка Carderplanet.pl, Закрытая Торговая Площадка

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных