Компания SAP выпустила ежемесячный набор обновлений безопасности за июнь 2012 г. Данный набор обновлений закрывает более 10 уязвимостей в продуктах SAP. В частности, две из них были исправлены при содействии сотрудников исследовательской лаборатории Digital Security. Уязвимости затронули две платформы для интеграции бизнес-систем предприятия, а именно SAP Portal и SAP PI (Process Integration), которые обычно используются для интеграции бизнес-приложений. Так, основная цель использования SAP NetWeaver PI — обеспечить необходимое качественное взаимодействие различных информационных систем в неоднородном ландшафте: как приложений SAP, так и систем сторонних производителей; как внутри компании, так и при взаимодействии с партнерами и контрагентами. Такие системы, как Portal и PI, зачастую доступны для интернет-пользователей или находятся на границе корпоративной сети с защищённым сегментом, что несёт дополнительную опасность, говорится в сообщении Digital Security. Обе обнаруженные уязвимости позволяют получить доступ к критичной для бизнеса информации, хранящейся в операционной системе, где установлены приложения. В случае с SAP Portal для эксплуатации уязвимости необходима пользовательская учётная запись в системе (обновление доступно в SAP Note 1705800; критичность по CVSS — 4.9). В случае же с SAP PI уязвимость эксплуатируется анонимно и позволяет получить доступ к критичным данным, а также совершать атаки на системы, интегрированные с SAP PI (обновление доступно в SAP Note 1707494; критичность по CVSS — 8.5). По мнению аналитиков, основная угроза безопасности SAP-систем кроется в некорректных сетевых разрешениях, позволяющих удаленным пользователям через общедоступную сеть Интернет получать доступ к корпоративным ресурсам. Уведомления, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах лаборатории Digital Security.
Источник