Меню

Греческое министерство финансов было атаковано через уязвимость в SAP

В новостях месяц назад проскочила новость об атаке на греческое министерство финансов группировкой Anonymous, которые уже прославились множеством атак на государственные органы и финансовые компании.  К сожалению, всё это время я был перегружен работой и не смог осветить данное событие вовремя, но тем не менее считаю должным высказаться хотя бы постфактум.

В новостях месяц назад проскочила новость об атаке на греческое министерство финансов группировкой Anonymous, которые уже прославились множеством атак на государственные органы и финансовые компании.  К сожалению, всё это время я был перегружен работой и не смог осветить данное событие вовремя, но тем не менее считаю должным высказаться хотя бы постфактум.

В результате атаки были выложены в публичный доступ различные конфиденциальные документы, а также пароли пользователей.  Детали можно прочитать в пресс-релизе.

Атака примечательна тем, что группировка Anonymous заявила, что доступ к секретным данным был получен через 0-day (уязвимость, для которой на  данный момент отсутствует патч) эксплойт в системе SAP. Это первая публично известная атака, направленная на SAP-приложения, в которой использовалась программная уязвимость. Бесспорно, махинации с SAP-системами проводились и ранее, например, подмена данных о заработной плате или различные мошеннические транзакции,  а также различные потайные ходы, оставленные разработчиками в ABAP-коде, позволяющие через секретные команды, прошитые в коде, манипулировать финансовыми потоками. Но это были инсайдерские атаки, которые зачастую не предавались огласке, хотя и имели место.

Интересно, почему именно SAP-приложения подверглись атаке, но в целом, конечно, ситуация пугающая, так как неизвестно, ждут ли нас подобные атаки  в дальнейшем. Что касается самой атаки, то пока доказательств того, что у Anonymous действительно есть эксплойт под 0-day-уязвимость, нет, и я подозреваю, что

Если хотите прочитать статью полностью и оставить свои комментарии присоединяйтесь к sapland

У вас уже есть учетная запись?

Войти

Обсуждения Количество комментариев5

Комментарий от  

Олег Точенюк

  |  12 декабря 2012, 14:52

"было выяснено, что на уязвимости в системах SAP есть спрос и есть предложение" - и почем торгуем уязвимостями? Как обычно консалтоднями? А чего-то думал что это как бы статья, уголовного кодекса, а у вас смотрю там все на поток поставлено, даже базар свой есть... Кстати вы годика полтора назад очень плакали, что как плохо что SAP не ломают, т.е. вы есть, а они его не ломают, но я вижу прогресс в популяризации, а давайте ну хоть кто-нибудь, ну поломайте SAP, был услышан... Так что я думаю все SAP-базисники и не только, могут вам сказать большое человеческое спасибо, да кстати кто не знает Александр и компания выкладывают в свободный доступ (по их словам), все дырки SAP со сроком давности более трех месяцев, так что если кто не спрятался (ну в смысле не обновился), у них политика такая, что они не виноваты...

Комментарий от  

Олег Башкатов

  |  12 декабря 2012, 15:09

Александр, спасибо за тему и колонку.
Вы можете дать комментарий, почему на сайте, где "пресс-релиз" указаны пользователи SAP как в верхнем, так и нижнем регистре?
в SAP же нет имен пользователей (по крайней мере, элемент данных такой XUBNAME), которые различали верхний и нижний регистр букв (поправьте меня - могу заблуждаться).
 
и почему пароли 6ти символьные и в них нет обыкновенных требований безопасности (верхний, нижний регистр, цифры, спецсимволы)?
возможно, что это какая-нибудь "перекаверканная студентами песочница"?

Комментарий от  

Александр Поляков

  |  12 декабря 2012, 15:42

Александр, спасибо за тему и колонку.
Вы можете дать комментарий, почему на сайте, где "пресс-релиз" указаны пользователи SAP как в верхнем, так и нижнем регистре?
в SAP же нет имен пользователей (по крайней мере, элемент данных такой XUBNAME), которые различали верхний и нижний регистр букв (поправьте меня - могу заблуждаться).
 
и почему пароли 6ти символьные и в них нет обыкновенных требований безопасности (верхний, нижний регистр, цифры, спецсимволы)?
возможно, что это какая-нибудь "перекаверканная студентами песочница"?

Лично мои предположения что это вообще пароли не SAP так как атака была на множество внутренних систем и может это пользователи ОС тут я ничего утверждать не могу да и в списке нет дефалтовых типа DDIC и ALEREMOTE. С другой стороны SAP внедрялся туда более 5 лет назад и за ним не особо следили насколько я понял из общения с коллегами. Ну а значит там была старая версия где по дефалту длинна пароля 3 символа и политик не установлено.  Ну а насчёт того песочница или нет, но из этой песочница были вытащены вполне себе важные документы например greece.greekreporter.com/2012/10#!lightbox/0/ датированные октябрём 2012. Не стоит думать что только в песочнице у студентов SAP настроен небезопасно )

Комментарий от  

Александр Поляков

  |  12 декабря 2012, 15:51

"было выяснено, что на уязвимости в системах SAP есть спрос и есть предложение" - и почем торгуем уязвимостями? Как обычно консалтоднями? А чего-то думал что это как бы статья, уголовного кодекса, а у вас смотрю там все на поток поставлено, даже базар свой есть... Кстати вы годика полтора назад очень плакали, что как плохо что SAP не ломают, т.е. вы есть, а они его не ломают, но я вижу прогресс в популяризации, а давайте ну хоть кто-нибудь, ну поломайте SAP, был услышан... Так что я думаю все SAP-базисники и не только, могут вам сказать большое человеческое спасибо, да кстати кто не знает Александр и компания выкладывают в свободный доступ (по их словам), все дырки SAP со сроком давности более трех месяцев, так что если кто не спрятался (ну в смысле не обновился), у них политика такая, что они не виноваты...

Замалчивание о проблемах это путь вникуда, это уже ни раз подтверждалось. Продажа эксплоитов не статья (и кстати мы этим не занимаемся, просто осведомлены). То что SAP раньше не ломали это ни кем не доказано просто даже если и был факт никто его не обнаружит никогда а если и обнаружит то не будет говорить на публике. Сама компания SAP уже давно начала заниматься своей безопасностью и признает проблемы и консультируется у таких как мы к примеру.

Комментарий от  

Олег Точенюк

  |  12 декабря 2012, 16:41

Замалчивание о проблемах это путь вникуда, это уже ни раз подтверждалось. Продажа эксплоитов не статья (и кстати мы этим не занимаемся, просто осведомлены). То что SAP раньше не ломали это ни кем не доказано просто даже если и был факт никто его не обнаружит никогда а если и обнаружит то не будет говорить на публике. Сама компания SAP уже давно начала заниматься своей безопасностью и признает проблемы и консультируется у таких как мы к примеру.

Ну зачем же замалчивание... просто не совсем корректно выкладывать дырки которым более чем 3 месяца, потому что обновление продуктивной системы вещь не всегда возможная в эти сроки, поэтому все что до этого публикуется это замечательно, а вот после... называется шантажом.