Závažné bezpečnostní chyby otevírají přístup do systémů založených na platformě SAP HANA

Závažné bezpečnostní chyby v platformě SAP HANA mohou útočníkovi zpřístupnit finanční data, údaje o zákaznících a další citlivé informace, a to na dálku, bez uživatelského jména a hesla. Vedle krádeže údajů mohou zranitelnosti posloužit i v konkurenčním boji nebo k pomstě propuštěných zaměstnanců, protože umožňují pozměnit nebo smazat data, případně důležité systémy vyřadit z provozu.

Závažné bezpečnostní chyby otevírají přístup do systémů založených na platformě SAP HANA


V paměťové databázové platformě SAP HANA, na níž je založeno mnoho klíčových podnikových systémů, byly odhaleny dosud nejzávažnější softwarové chyby.

Osm z 21 objevených chyb je označováno za kritické, tedy nejvyšším stupněm závažnosti, protože je útočníci mohou využít k vymazání dat, krádeži informací o zákaznících a finančních údajů nebo ke změně cen produktů.

Bezpečnostní společnost Onapsis, která se specializuje na ochranu systémů SAP, říká, že její analytici našli spoustu „smetí zameteného pod koberec“. Podle nich řada objevených chyb umožňuje získat na dálku plný přístup do systémů HANA přes internet, bez nutnosti získat či prolomit uživatelské jméno a heslo.

Onapsis studuje systémy HANA již delší dobu a nabízí svým zákazníkům platformu a službu, která včas upozorňuje na odhalené zranitelnosti a chrání je tak před cílenými útoky. Spolupracuje úzce se společností SAP a již pomohla odstranit přes 250 tzv. zranitelností nultého dne, na něž není v době zveřejnění k dispozici záplata.

SAP se o mnoha z těchto chyb dozvěděl v únoru a vydal pro ně opravy. Problém však nijak veřejně nekomentuje.

Databáze SAP HANA, která běží v operační paměti, konkuruje produktům společností Oracle a IBM. Slouží řadě systémů a aplikací ERP, CRM, SCM a BI. Ze své podstaty poskytuje výrazně rychlejší analýzu a zpracování transakcí. SAP se usilovně snaží přesunout zákazníky na platformu HANA, která je jedním z nejrychleji rostoucích produktů firmy. Mezi její uživatele patří mimo jiné T-Mobile, Palo Alto Networks, Airbus, Dell, Adidas, EMC, americká Národní hokejová liga nebo Marathon Oil.

Některé z chyb vyžadují opravu, u jiných postačí změna konfigurace. Onapsis doporučuje izolovat komunikační protokol TREXNet od koncových uživatelů a zavést šifrování datového provozu. Rovněž radí sledovat, zda u HTTP a SQL provozu nedochází k anomáliím.

Zdroj: IDG News Service


Úvodní foto: © lolloj - Fotolia.com




Komentáře