Hlavní navigace

SAP záplatuje děravý podnikový software včetně vysoce závažných bezpečnostních chyb

17. 2. 2016
Doba čtení: 1 minuta

Sdílet

 Autor: SAP Media Library
Chyba v software SAP Manufacturing Integration and Intelligence (xMII) umožňuje útočníkům neoprávněně získat informace z výrobních systémů. Další zranitelnosti umožňují neoprávněný přístup k souborům, spouštění příkazů a manipulaci s databázemi. O chyby se kvůli zranitelnostem již začali zajímat hackeři a kyberšpioni.

Únorová nadílka oprav závažných chyb od SAPu obsahuje mimo jiné záplaty pro software Manufacturing Integration and Intelligence (xMII), o nějž se kvůli zranitelnostem začali zajímat hackeři a kyberšpioni.

Tento software hojně využívají průmyslové podniky k propojení výrobních systémů s obchodními aplikacemi pro sledování výkonnosti – avšak kvůli chybám nebyla vynucována pravidla omezující přístup k informacím pro různé uživatele.

Aktualizace xMII opravuje zranitelnost vůči útoku typu directory traversal, která umožňovala útočníkům proniknout do adresářů na fileserveru SAP a získat citlivé soubory včetně zdrojových kódů aplikací, konfiguračních a systémových souborů a dalších technických a obchodních informací.

I když chyba neumožňovala útočníkům přímo narušit výrobu, mohli s ji zneužít jako první krok vícefázového útoku proti důležitějším výrobním systémům ICS a SCADA.

Oprava xMII však nebyla mezi 23 aktualizacemi hodnocená jako nejdůležitější – SAP jí přidělil pouze 4 body z 10. Nejvýše na žebříčku závažnosti se umístila se 7,5 bodu chyba ve vyhledávacím jádře Trex  systému SAP NetWeaver, která umožňovala neoprávněné provádění systémových příkazů včetně spouštění libovolných souborů.

soutez_casestudy

Na druhém místě byla zranitelnost vůči SQL injection v serveru SAP UDDI (Universal Description, Discovery and Integration). Pomocí speciálně upravených SQL dotazů umožňovala útočníkům číst, měnit a možná i mazat databáze.

Zdroj: IDG News Service

Byl pro vás článek přínosný?