Исследователи, работающие на платформе кибербезопасности ERPScan, раскрыли детали двух уязвимостей, которые позволяют нарушить работу популярной в корпоративном секторе CRM-системы SAP.
CRM-система считается одним из ценнейших активов предприятий. Несанкционированное проникновение в нее может иметь катастрофические последствия, вплоть до подрыва доверия к компании, порчи репутации бренда и проблем с законом.
Информация была раскрыта представителями ERPScan на конференции по безопасности Troopers. Исследование показывает, что в настоящий момент более 500 уязвимых систем доступно для удаленных сетевых атак через Интернет. Уязвимость использует дыру в платформе SAP NetWeaver, используемой для автоматизации бизнес-процессов.
При совершении атаки используется обход каталога для чтения идентификационных данных администратора. Далее, после входа через эту учетную запись, уязвимость обхода каталога используется повторно для внедрения вредоносного кода, команда на выполнение которого затем может быть отправлена хакером с удаленного сервера. Это может позволить злоумышленникам получить полный контроль над CRM-системой SAP и считать всю доступную информацию о клиентах компании и истории взаимоотношений с ними.
Пользователям SAP рекомендуется установить все доступные обновления как можно быстрее и отслеживать свои системы на предмет необычных событий и подозрительных действий.