Исследовательский центр DSecRG, основанный компанией Digital Security, опубликовал на своём сайте две новые критичные уязвимости в сервере приложений SAP NetWeaver. Используя данные уязвимости, злоумышленник может вызвать удаленный отказ в обслуживании SAP-системы, говорится в сообщении DSecRG. Реализация атаки требует отправки специально сформулированного запроса на любой SAP-сервер, расположенный как в интернете, так и в локальной сети компании. Для реализации одной уязвимости аутентификации не требуется, для реализации другой – необходимы учетные данные в системе, но злоумышленник может воспользоваться известными стандартными учетными записями, заданными производителем. «Мы считаем данные уязвимости особенно критичными, поскольку любой пользователь сети интернет может с легкостью найти серверы SAP, работающие через сеть интернет, используя технику Google hacking, — сообщил Александр Поляков, руководитель исследовательской лаборатории DSecRG. — Удаленный отказ в обслуживании является критичным риском для бизнеса и может нести финансовые потери для компании, использующей программное обеспечение SAP для взаимоотношения с клиентами или поставщиками через сеть интернет. Администраторам рекомендуется в срочном порядке установить обновления, подробности о которых доступны в SAP Note 1484097 и 1469549».
Источник