Poważna dziura w środowisku NetWeaver - systemy SAP ERP zagrożone
- Piotr Waszczuk,
- IDG News Service,
- 08.08.2011, godz. 11:11
Błąd wykryty w wykorzystywanym przez środowisku NetWeaver silniku Java może pozwalać na uzyskanie nieuprawnionego dostępu do najwyższych uprawnień administracyjnych oprogramowania biznesowego SAP. Jako taki może zostać wykorzystany m.in. do szpiegostwa przemysłowego i działalności sabotażowej względem firm korzystających z systemów SAP ERP. Przedstawiciele koncernu SAP zapowiedzieli już stosowne poprawki.
Jednocześnie eksperci podkreślają, że wykryte zagrożenie opiera się na znanej od lat, ale dotychczas stosunkowo niepopularnej wśród hakerów kategorii błędów. "Zasadniczo nie jest to tylko jedno zagrożenie względem konkretnego rozwiązania, ale cała klasa zagrożeń związanych z implementacją J2EE w systemach biznesowych - zagrożeń, które do tej pory istniały głównie w sferze teorii. Trzeba pamiętać, że wdrożenia systemów klasy ERP zazwyczaj charakteryzuje potrzeba przeprowadzenia istotnych zmian w standardowej konfiguracji oprogramowania. Wobec tego każdy, działający w praktyce system ERP, jest unikalny i potencjalnie charakteryzuje się podatnością na unikalne zagrożenia bazujące na wykorzystanych przez producenta oprogramowania rozwiązaniach implemetacyjnych" - dodaje Alexander Polyakov. Według niego na tego typu ataki statystycznie podatna jest ponad połowa instalacji systemów biznesowych SAP. Alexander Polyakov nie wyklucza również, że podobne luki znajdują się także w systemach ERP innych producentów. Inną niebezpieczną lukę wykryto również w jądrze środowiska SAP Netweaver w wersjach 4.6 - 7.2. Zdaniem ekspertów odpowiednio spreparowany pakiet danych skierowany do serwera SAP NetWeaver może wywołać błąd pamięci i pozwolić na przeprowadzenie ataku odmowy dostępu. Tego typu atak skutkować może m.in. całkowitym unieruchomieniem systemów transakcyjnych bazujących na środowisku NetWeaver. Z ujawnionych informacji wynika jednak, że realizacja tego typu ataku wymaga posiadania uprawnień administracyjnych.
Zobacz również:
Warto wspomnieć, że zgodnie z ujawnionymi w ubiegłym roku informacjami platforma NetWeaver ma odgrywać istotną rolę w planach SAP związanych z rozwojem oferty pod kątem modelu cloud comuputing. Oprogramowanie warstwy pośredniej SAP ma również stopniowo zyskiwać funkcje wykraczające poza możliwości typowych systemów klasy middleware. Środowisko NetWeaver jest wykorzystywane jako baza technologiczna dla większości nowych rozwiązań biznesowych SAP od momentu wprowadzenia na rynek oprogramowania pakietu SAP Business Suite. Poza mechanimami integracyjnymi na funkcjonalność platformy NetWeaver składają sie m.in. rozwiązania ułatwiające modelowanie i analizowanie procesów biznesowych, technologie wspierające zarządzanie danymi oraz środowisko aplikacyjne.