Zdaniem ekspertów ujawniona podczas tegorocznej konferencji Black Hat luka może okazać się niebezpieczna ponieważ pozwala na stosunkowo proste uzyskanie nieautoryzowanego dostępu do informacji biznesowych zapisanych w systemie klasy ERP za pośrednictwem sieci Internet. Według analityków waga wykrytego błędu jest tym większa, że środowisko NetWeaver jest wykorzystywane w wielu rozwiązaniach biznesowych SAP. "Systemy SAP są wykorzystywane w ponad 100 tys. firm z całego świata. Rozwiązania te są wykorzystywane do obsługi krytycznych procesów biznesowych począwszy na zakupach, działaniach kadrowo-płacowych, aż po księgowość i wymianę informacji z innymi systemami biznesowymi. Ryzyko związane z uzyskaniem nieuprawnionego dostępu do tak szerokiej bazy informacji o prowadzonej działalności jest więc niezmiernie wysokie" - twierdzi Alexander Polyakov, analityk bezpieczeństwa IT i dyrektor ds. technologii w firmie ERPscan. Jego zdaniem luka wykryta w oprogramowaniu warstwy pośredniej SAP może być wykorzystana m.in. w ramach działań z zakresu szpiegostwa przemysłowego i sabotażu prowadzonej działalności. "Wykryta luka może być wykorzystana w celu zdalnego obejścia mechanizmów autoryzacji dostępu do oprogramowania bazującego na rozwiązaniach bazujących na środowisku NetWeaver. Przykładowo, tylko za pomocą dwóch odpowiednio spreparowanych poleceń skierowanych do serwera obsługującego NetWeaver możliwe jest stworzenie dodatkowego konta użytkownika posiadającego pełne prawa administracyjne" - podkreśla Alexander Polyakov. Według niego podobny atak może zostać przeprowadzony także wobec systemów wykorzystujących bardziej kompleksowe zabezpieczenia. Zagrożenie dotyczy stworzonej na potrzeby platformy NetWeaver implementacji silnika Java. Przedstawiciele koncernu SAP zapowiedzieli już stosowne poprawki.

Jednocześnie eksperci podkreślają, że wykryte zagrożenie opiera się na znanej od lat, ale dotychczas stosunkowo niepopularnej wśród hakerów kategorii błędów. "Zasadniczo nie jest to tylko jedno zagrożenie względem konkretnego rozwiązania, ale cała klasa zagrożeń związanych z implementacją J2EE w systemach biznesowych - zagrożeń, które do tej pory istniały głównie w sferze teorii. Trzeba pamiętać, że wdrożenia systemów klasy ERP zazwyczaj charakteryzuje potrzeba przeprowadzenia istotnych zmian w standardowej konfiguracji oprogramowania. Wobec tego każdy, działający w praktyce system ERP, jest unikalny i potencjalnie charakteryzuje się podatnością na unikalne zagrożenia bazujące na wykorzystanych przez producenta oprogramowania rozwiązaniach implemetacyjnych" - dodaje Alexander Polyakov. Według niego na tego typu ataki statystycznie podatna jest ponad połowa instalacji systemów biznesowych SAP. Alexander Polyakov nie wyklucza również, że podobne luki znajdują się także w systemach ERP innych producentów. Inną niebezpieczną lukę wykryto również w jądrze środowiska SAP Netweaver w wersjach 4.6 - 7.2. Zdaniem ekspertów odpowiednio spreparowany pakiet danych skierowany do serwera SAP NetWeaver może wywołać błąd pamięci i pozwolić na przeprowadzenie ataku odmowy dostępu. Tego typu atak skutkować może m.in. całkowitym unieruchomieniem systemów transakcyjnych bazujących na środowisku NetWeaver. Z ujawnionych informacji wynika jednak, że realizacja tego typu ataku wymaga posiadania uprawnień administracyjnych.

Zobacz również:

• Strategiczna współpraca NTT DATA Business Solutions i Beyond.pl

Warto wspomnieć, że zgodnie z ujawnionymi w ubiegłym roku informacjami platforma NetWeaver ma odgrywać istotną rolę w planach SAP związanych z rozwojem oferty pod kątem modelu cloud comuputing. Oprogramowanie warstwy pośredniej SAP ma również stopniowo zyskiwać funkcje wykraczające poza możliwości typowych systemów klasy middleware. Środowisko NetWeaver jest wykorzystywane jako baza technologiczna dla większości nowych rozwiązań biznesowych SAP od momentu wprowadzenia na rynek oprogramowania pakietu SAP Business Suite. Poza mechanimami integracyjnymi na funkcjonalność platformy NetWeaver składają sie m.in. rozwiązania ułatwiające modelowanie i analizowanie procesów biznesowych, technologie wspierające zarządzanie danymi oraz środowisko aplikacyjne.