Российские эксперты показали пример взлома SAP

На конференции BlackHat, которая проходит каждый год в США, компания ERPScan, основанная лабораторией исследования DSecRG (Digital Security Research Group), выступила с новой презентацией, которая посвящена целевым хакерским атакам на системы типа SAP. Александр Поляков (технический директор компании ERPScan) заявил, что ERP-системы, типа SAP, хранят в себе всю самую важную информацию для бизнеса, а это значит, что очень важно обеспечить лучшую защиту от попыток кибер-шпионажа, который на данный момент более чем возможен.

Во время презентации был продемонстрирован пример довольно сложной атаки, которая состояла из большого числа уровней. Сама по себе атака представляла последовательное использование уязвимостей системы типа SAP. Из-за того, что модуль SAP PI практически постоянно доступен через сеть интернет, преступникам достаточно всего лишь иметь неавторизованный доступ к веб-сервису, при помощи которого можно отправлять XML-пакеты.

Российские эксперты показали пример взлома SAP

Дальше применяется довольно новая техника — XML Tunneling. Это подвид атаки типа SSRF. Атака основана на Server Side Request Forgery (подделка сервисного ответа), Из сети интернет во внутреннюю систему посылаются пакеты типа TCP, которые спрятаны внутри XML-пакетов, практически никогда не распознаваемые системой как вредоносное программное обеспечение.

Далее буфер в системе SAP Kernel переполняется. Тогда хакер может без особого труда взломать систему. При помощи техники SSRF можно взломать не только системы типа SAP, но и любую другую систему управления бизнесом, которая работает под управлением сервера типа J2EE и использует технологию XML для переноса данных.  Для того, чтобы обезопасить себя и свой бизнес от атак, вам необходимо постоянно обновлять свою систему защиты. Компания ERPScan продает одноименный продукт, который представляет собой сканер уязвимых мест системы управления бизнесом.

Кроме того, как стало известно российские эксперты примут участей в конкурсе, который заключается в попытке взлома популярного браузера Google Chrome с призовым фондом в 2 миллиона долларов США.