Количество уязвимостей в компонентах SAP увеличивается
🕛 19.06.2012, 02:33
Больше половины уязвимостей связаны с получением несанкционированного доступа к конфиденциальной информации. Согласно отчету компании ERPScan, от 5% до 25% различных компаний по всему миру используют службы SAP. Основанием исследования стали утверждения о том, что системы SAP являются наиболее защищенными от хакерских атак и доступны только для внутреннего использования.
По данным экспертов, несмотря на то, что все рекомендации SAP предупреждают об ограничении доступа к административным службам, многие компании, принявшие участие в исследовании, предоставляют открытый доступ к важным сервисам.
В некоторых случаях причиной столь легкомысленного поведения является недостаток знаний специалистов, иногда – желание руководства компании получить дистанционное управление службами, что, в свою очередь, является небезопасным.
Например, в Германии были обнаружены маршрутизаторы SAP, созданные в основном для предоставления доступа к внутренним системам SAP, которые могут содержать уязвимости, часть которых была устранена в мае текущего года. Однако реальная проблема состоит в том, что 8% респондентов предоставляют доступ к различным сервисам службы в обход маршрутизатора, что позволяет злоумышленникам легче заполучить конфиденциальные данные.
Также 9% компаний со всего мира, принимавших участие в исследовании, используют SAP-консоли управления, доступ к которым легко можно получить через Интернет. Большинство таких консолей используется компаниями в Китае и Индии – 55% и 20% соответственно.
Как отмечается в отчете ERPScan, количество уязвимостей компонентов SAP непрерывно увеличивается. Так, в 2009 году было устранено около 100 уязвимостей, в 2010 году их число увеличилось более чем в 5 раз, а в марте 2012 года уже сообщалось об обнаружении более 2000 уязвимостей в системе безопасности SAP.
Согласно результатам исследования две трети найденных уязвимостей SAP являются крайне опасными и их необходимо устранить как можно быстрее. Кроме того, 59% уязвимостей связаны с возможностью получения несанкционированного доступа к конфиденциальной информации.