30-го января на 7-й встрече сообщества Defcon Russia руководитель департамента аудита информационной безопасности компании Digital Security Алексей Синцов раскрыл детали опасной уязвимости в почтовом сервисе компании «Яндекс», которая заняла призовое место в рамках прошедшего 25-го ноября 2011 г. конкурса на конференции ZeroNights 2011. Уязвимость заключалась в том, что потенциальный нарушитель мог получить доступ к ограниченной конфиденциальной информации пользователей сервиса. Компания Яндекс высоко оценила степень критичности данной уязвимости и оперативно приняла все надлежащие меры для её устранения.

«Данный конкурс – это уникальное для нашей страны событие. Уязвимости есть везде, но не каждый готов к открытой работе со своими проблемами. Компания Яндекс попробовала себя в этом деле, и я уверен, что полученный результат оправдал такой подход. Для западных компаний подобная практика не нова: такие известные разработчики, как Google, Mozilla и Facebook, используют практически аналогичную модель работы с внешними исследователями. Например, не так давно DSecRG – исследовательский центр Digital Security – был отмечен компанией Google за найденную опасную уязвимость в Google Docs. Ведь, в конечном счете, чем больше людей будут искать и находить уязвимости – тем меньше их останется для плохих парней, а это делает сервис более защищенным» – прокомментировал Алексей Синцов.

DSecRG, исследовательский центр компании Digital Security, опубликовал отчет о результатах исследований защищенности банк-клиентов ведущих российских производителей за период с 2009 по 2011 гг. Основной вывод из трехлетнего исследования подавляющего большинства имеющихся на российском рынке систем ДБО заключается в том, что, несмотря на чрезвычайную критичность программного обеспечения данного класса, общий уровень защищенности систем ДБО, по оценкам исследователей, находится на крайне низком уровне. Банк-клиенты содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы.

Так, в совокупности с отсутствием защитных механизмов и наличием уже далеко не новых уязвимостей, в системах ДБО актуальны атаки, приводящие к подделке злоумышленником платежных поручений с корректной ЭЦП пользователя. Атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор ПИН-кодов с вредоносного сайта и подпись любых данных.

Алексей Синцов, руководитель департамента аудита ИБ Digital Security: "Опыт нашей работы показал печальный факт: критичность ПО не влияет на уровень его защищенности. Разработчики уделяют внимание безопасности кода, только когда их продукт начинают массово взламывать. Пример такого отношения – то, что сейчас происходит с ПО АСУ ТП. Точно такая же ситуация – и с банковским ПО".

"Аудит защищенности банк-клиентов является одной из наших основных специализаций. Поэтому дежавю - вот первое, что приходит нам в голову для наиболее точной характеристики результатов проведенного исследования. Мы как будто перенеслись на 10–15 лет назад в "славные" 90-е годы, когда о безопасности бизнес-приложений, к которым относятся системы ДБО, не задумывался практически никто. Разработчики систем ДБО по-прежнему допускают те же ошибки, не заметив, что мир безопасности, как и мир киберпреступности, за последнее десятилетие сделал огромный шаг вперед ", – отметил Илья Медведовский, директор Digital Security.

С результатами исследования можно ознакомиться по следующей ссылке: http://dsec.ru/RBS2009/RBS2009-2011.pdf

Помимо множества докладов и тренингов по безопасности SCADA, на конференции были представлены результаты грандиозного проекта, посвящённого исследованиям уязвимостей в промышленных контроллерах.

Проект получил имя Project Basecamp.

Исследованию подверглись следующие промышленные контроллеры:

• General Electric D20ME


• Koyo/Direct LOGIC H4-ES


• Rockwell Automation/Allen-Bradley ControlLogix


• Rockwell Automation/Allen-Bradley MicroLogix


• Schneider Electric Modicon Quantum


• Schweitzer SEL-2032 (a communication module for relays)

Эксперты из Digital Security Research Group – исследовательского центра компании Digital Security – решили поддержать данный проект своими независимыми исследованиями, добавив к списку контроллер WAGO серии 750, и опубликовали ряд уязвимостей нулевого дня под данный контроллер, а также под SCADA системы wellintech KingSCADA и OPC Systems.NET, дабы ещё раз привлечь внимание к данной проблеме.

Информация об уязвимостях доступна по следующим ссылкам:

Результаты исследования проекта BaseCamp доступны по ссылкам:

В 100% исследуемых систем были выявлены ошибки класса XSS (межсайтовый скриптинг). Данный тип уязвимости является вторым по популярности в списке уязвимостей OWASP TOP 10. Чтобы показать, что в контексте работы системы ДБО данный тип ошибок является действительно опасным, был разработан способ использования данной уязвимости для обмана пользователя и установки ЭЦП на поддельное платежное поручение даже в случае использования защиты в виде смарт-карты или токенов. Такая атака возможна без заражения рабочей станции клиента банка. Продолжая тему токенов, было установлено, что большинство ПО банка работает с данными устройствами, используя web технологии, что также дает злоумышленнику рычаги давления. Например, злоумышленник может скрытно перебирать PIN код от токена с любого сайта или даже незаметно устанавливать ЭЦП. Кроме того, были обнаружены ошибки архитектуры, которые позволяют обходить проверку ЭЦП при приеме платежного поручения, например, в случае воздействия уязвимости типа SQL-инъекции. Так злоумышленник может изменить статус платежного поручения с помощью SQL-инъекции, без установки ЭЦП, после чего такая платежка попадет в АБС, где уже нет такого понятия как ЭЦП, и поэтому будет исполнена (в том случае, если другие параметры платежного поручения не вызовут подозрения у операциониста банка). Кроме большого количества ошибок в web приложениях, по прежнему также актуальны проблемы с плагинами ActiveX на клиентах.

В ходе конференции ZeroNights были продемонстрированы эксплойты и 0-day уязвимости в пользовательских плагинах систем ДБО. Такие уязвимости опасны тем, что позволяют реализовывать целевые атаки на пользователей системы, компрометируя их рабочие станции.

Алексей Синцов, руководитель департамента аудита ИБ Digital Security: "Несмотря на то, что мы пытались обратить внимание на проблемы систем ДБО ещё два года назад - заметного улучшения качества кода не произошло. Так, например, год назад в продукте была найдена одна уязвимость, о чем было сообщено разработчику. Разработчик выпустил обновление, но остальной код не стал проверять на наличие аналогичных проблем. Логично, что через год похожая проблема была найдена опять, в другом участке кода той же программы. Кроме того, практически во всех приложениях, как web, так и ActiveX, не применяются известные и популярные защитные механизмы. И за два года ситуация не поменялась. Например, мы не встречали систем ДБО, которые использовали бы флаги для защиты cookie и, тем более, защиту от атак класса сlickjacking. Более того, как показало исследование, существуют большие проблемы с распространением исправлений уже давно найденных уязвимостей. Так, например, до сих пор мы видим применяемые многими решения с устаревшей клиентской частью ActiveX с уязвимостями, о которых было сообщено разработчику более года назад. Более того, такая же ситуация и с web уязвимостями (в серверной части), когда после выявления уязвимостей разработчик выпускает обновления и внедряет их в рамках одного конкретного внедрения ДБО. При этом спустя полтора года мы видим другое внедрение этого же разработчика с аналогичными уязвимостями за счет использования общего ядра системы (при этом также много других не менее опасных уникальных уязвимостей, связанных со спецификой конкретного решения). То есть то, что мы видим сегодня на практике – большинство разработчиков систем ДБО банально скрывают проблемы ИБ в своих продуктах от банков и даже не пытаются задумываться об их безопасности».

В презентации приведены основные результаты наших исследований в отечественных системах ДБО.

Уязвимости, покрывающие практически весь спектр OWASP Top 10: от обхода каталога (path traversal) и XSS до обхода авторизации и внедрения произвольного кода - были опубликованы на сайте ERPScan.com.

"Мы ежемесячно публикуем информацию об уязвимостях, найденных нашими сотрудниками в программном обеспечении SAP, но этот месяц выдался наиболее плодотворным. Хочется отметить, что компания SAP стала быстрее реагировать на информацию об уязвимостях, получаемую от сторонних компаний, и оперативнее закрывать эти уязвимости, что в целом увеличивает защищённость системы. Тем не менее, проблема, связанная с неосведомлённостью администраторов и сложностью установки обновлений, оборачивается тем, что множество не только внутренних, но и доступных через интернет SAP систем по нашим последним исследованиям содержит уязвимости, уже давно закрытые компанией SAP. Эти компании могут стать лёгкими мишенями для злоумышленников", - отметил Александр Поляков, технический директор Digital Security.

В процессе исследования была найдена чрезвычайно интересная и оригинальная уязвимость на ресурсе Google Documents, позволяющая добавлять произвольные EXCEL формулы в документы через Google Forms. Используя данную уязвимость, потенциальные злоумышленники могли получать критичные данные из пользовательских таблиц.

Специалисты Google оценили данную уязвимость в "элитную" сумму $1337, выразив свое удивление и отдельно отметив оригинальность обнаруженного вектора атаки.

Так же на конференции ZeroNights 2011 были подведены итоги конкурса "Месяц поиска уязвимостей" от компании Яндекс.

Алексей Синцов, руководитель департамента аудита ИБ Digital Security, занял второе место и получил $3000 и место в зале славы Яндекс.

Согласно соглашению с Яндекс, через два месяца мы сможем рассказать о технических подробностях обнаруженной уязвимости. Стоит отметить, что компания Яндекс стала первопроходцем в подобных видах программ в русском сегменте интеренета и не намерена останавливаться на проведении только одного конкурса.

"Данными наградами, полученными за исследования, связанными с поиском уязвимостей в продуктах двух ведущих поисковиков, мы в очередной раз наглядно продемонстрировали высочайший уровень квалификации наших аудиторов, которые постоянно оттачивают свое мастерство, в том числе, и в подобных исследованиях" - отметил Илья Медведовский, директор компании Digital Security.

Уязвимости, покрывающие практически весь спектр OWASP Top 10: от обхода каталога (path traversal) и XSS до обхода авторизации и внедрения произвольного кода - были опубликованы на сайте ERPScan.com.

“Мы ежемесячно публикуем информацию об уязвимостях, найденных нашими сотрудниками в программном обеспечении SAP, но этот месяц выдался наиболее плодотворным. Хочется отметить, что компания SAP стала быстрее реагировать на информацию об уязвимостях, получаемую от сторонних компаний, и оперативнее закрывать эти уязвимости, что в целом увеличивает защищённость системы. Тем не менее, проблема, связанная с неосведомлённостью администраторов и сложностью установки обновлений, оборачивается тем, что множество не только внутренних, но и доступных через интернет SAP систем по нашим последним исследованиям содержит уязвимости, уже давно закрытые компанией SAP. Эти компании могут стать лёгкими мишенями для злоумышленников", - отметил Александр Поляков, технический директор Digital Security.

Доклад вызвал немало шума и был высоко оценен зарубежными коллегами. В настоящий момент времени мировой тур, посвящённый безопасности J2EE патформы SAP, завершен. Наши специалисты готовятся к следующему году, который, мы уверены, принесёт немало новых и интересных докладов.

Из пресс-релизов по прошедшим выступлениям:

“Многие клиенты SAP до сих пор не понимают, что даже одна пропущенная или незакрытая техническая уязвимость может значительно повлиять на безопасность всей компании. К настоящему моменту времени уже выпущено более 1500 SAP нот с указанием деталей уязвимостей в SAP продуктах”, - говорит Александр Поляков.

“Червь, концепт которого мы представляем, позволяет обнаружить зараженные SAP сервера и взломать их через уязвимость в J2EE движке. Далее червь подгружает на сервер боевую нагрузку в виде бэкдора. Так как сервер обычно использует доверенные RFC-соединения (trusted RFC connections) с серверами, расположенными в рамках сети компании, бэкдор, подгружаемый червем, также получает доступ ко всем доверенным соединениям. Таким образом, появляется возможность выгрузки информации о финансах, человеческих и материальных ресурсах и других критических данных. Информация о доверенных соединениях также представляет определенную ценность в случае ее распространения.

В случае если для взломанного сервера не определены доверенные соединения, червь может попробовать установить соединение с другими системами с использованием авторизационных данных, установленных по умолчанию.

Однажды проникнув на сервер, червь может оставаться необнаруженным в течение многих лет, даже после того, как уязвимость будет закрыта. Все, что необходимо в данном случае злоумышленнику, это отправлять команды на сервера, чтобы получать необходимые корпоративные данные. Кроме того, злоумышленник может переписать банковские данные и манипулировать денежными переводами”

Доклад об уязвимости (англ) доступен по ссылке:

«К сожалению, некоторые разработчики очень своеобразно относятся к процессу распространения обновлений. Например, до сих пор есть банки с уязвимым ПО, при этом разработчик знает об этом более года, а вот банк - нет. Мы понимаем трудность распространения исправлений в такой сложной среде, но и молчать тоже нельзя. Мы в рамках исследовательской деятельности сообщаем производителю о проблеме, но производитель ничего не делает, считая, что лучше промолчать, чем принять для себя этот репутационный риск. Кроме этого, год назад мы говорили разработчикам о необходимости пересмотреть свой подход к разработке банковского ПО, но, к сожалению, по прежнему находим простейшие ошибки с помощью фаззеров, способные, например, полностью вывести из строя систему ДБО из сети Интернет. В этом году мы также уделили внимание веб и архитектуре. Так, например, мы показали, как используя лишь одну уязвимость класса XSS на веб-сервере, можно обмануть пользователя ДБО с токеном и отправить мошенническое платежное поручение. Или другой пример - как используя SQL инъекцию, вообще обойти проверку ЭЦП» - прокомментировал результат исследования руководитель департамента аудита ИБ Алексей Синцов.

В данном обновлении одна уязвимость была обнаружена сотрудником DSecRG - Дмитрием Евдокимовым.

Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.

Подробный список исправленных уязвимостей:

• Межсайтовый скриптинг . Обновление доступно в sap note 1585652. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP. Злоумышленник может использовать данную уязвимость, послав неосведомленному пользователю специальную ссылку посредством электронной почты, мгновенных сообщений или социальных сетей. При переходе по данной ссылке пользовательский браузер выполнит вредоносный скрипт. Получив доступ к данным сессии пользователя, используя вредоносный скрипт, злоумышленник сможет получить контроль над критичными для бизнеса данными, хранящимися в этих приложениях, к которым имеет доступ жертва.

Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAP Notes: 1585652

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.ru и DSecRG.ru. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.

Прошедшая выставка InfosecurityRussia («Инфобезопасность»)’2011 стала крупнейшим в России мероприятием по количеству событий, включенных в деловую программу: состоялось 171 мероприятие на стендах экспонентов, в конференц-залах, конкурсной зоне и Гайд-парке инноваций. Особый интерес посетителей вызвала информация о новейших трендах и технологиях «из первых рук» — в деловой программе InfosecurityRussia («Инфобезопасность»)’2011 приняли участие 16 иностранных докладчиков.

Тематические акценты выставки и наибольшее количество мероприятий соответствовали ключевысм трендам развития ИТ и ИБ – облачные вычисления, мобильная коммерция, DLP, непрерывность бизнеса, кибервойны.

Digital Security приняла участие в данном мероприятии. На стенде компании посетители смогли ознакомиться с услугами и продуктами компании, в том числе со сканером безопасности SAP ERPScan.

Также в рамках Международной выставки InfosecurityRussia 2011 проходил семинар ассоциации Risspa, посвящённый безопасности бизнес-приложений. В качестве докладчиков выступили ключевые специалисты в данной области с докладами по своим темам. От лица Digital Security выступал Александр Поляков с докладом “Как взломать SAP за 60 секунд”. Помимо самой демонстрации того, как удалённо получить неавторизированный доступ с использованием нашумевшей уязвимости, были представлены различные способы получения доступа к критичным данным компании, даже в случае идеально настроенной Segregation of Duties. Но основной идеей доклада было показать проблемы ответственности и контроля, так как ряд настроек безопасности находятся на грани ответственности разработчиков и администраторов или администраторов и специалистов по безопасности, что означает, что ответственных фактически нет. Что касается контроля, то учитывая огромное количество различных настроек и ответственных, необходимо иметь единую точку контроля и анализа текущего состояния безопасности. В целом круглый стол получился очень информативным и полезным.

В новом докладе, который будет представлен на конференции HITB в Малайзии, специалисты ERPScan покажут прототип червя под кодовым именем SAPacalypse, который используя уязвимость в SAP NetWeaver JAVA-сервере, доступном из интернет, подключается к доверенным ABAP-серверам во внутренней сети, которыми уже могут быть ERP,CRM,BI и прочие. После чего, вирус ворует из этих систем критичные данные, а также данные для подключения к другим доверенным серверам и так далее. Учитывая глубокую интеграцию бизнес-процессов и, как следствие, связность внутренних систем через внутренние линки, это позволит проникнуть практически во все системы компании через единственную уязвимость.

Мы надеемся, что этот доклад станет очередным стимулом для компаний закрыть данную критичную уязвимость, а также, что наиболее важно, проанализировать свои системы на безопасность в комплексе.

25 Ноября 2011 года в северной столице России пройдет знаковое событие в области информационной безопасности - Международная конференция по техническим аспектам информационной безопасности – “ZeroNights 2011”.

Конференция организовывается российским сообществом DEFCON при поддержке Digital Security и призвана собрать лучших специалистов в своей области, которые расскажут о своих последних исследованиях, 0-day уязвимостях и методиках.

Наша основная цель - представить качественно новый уровень докладов, как глубоко технических, так и более бизнес-ориентированных. Тематика конференции направлена на уязвимости, атаки нулевого дня и практические примеры атак в реальных условиях. Здесь вы не услышите слово «теоретически». Даже на конкурсах будут проходить взломы настоящих живых систем и приложений, а не специально настроенных небезопасных сервисов. Даже организаторы не будут знать, возможно ли сломать эти системы или нет, и что найдут в них конкурсанты.

Доклады, представленные на конференции, пройдут тщательный отбор командой независимых специалистов, и, будьте уверены, они выберут только лучших. В числе программного комитета такие известные эксперты, как Крис Касперски (бывший соотечественник и персона, не нуждающаяся в представлении), Дейв Аител (CEOImmunity,USA), Питер Ван Иекхаут (CorelanTeam, Бельгия), The Grugq (COSEINC, Тайланд), Евгений Климов (PWC,Россия), Илья Медведовский (Digital Security, Россия ), Никита Кислицин (журнал XAKEP, Россия), Александр Матросов (ESET, Россия).

Уже сейчас прислано немало заявок, и с каждым днем будет все сложнее занять место среди докладчиков.

Но на этом мы не остановились, и внутри конференции пройдет мини-конференция под названием FastTrack, где докладчикам выделяется 15 минут на презентацию исследования или поднятие острого вопроса. Эта часть конференция будет носить более неформальный характер и призвана поднять кулуарные вопросы на всеобщее обсуждение, а также дать высказаться публике. Заявки на участие необходимо направлять по адресу fasttrack@zeronights.org. Участие в FastTrack - это отличная возможность рассказать о наболевшем.

Что касается основной программы, то она будет состоять из секции докладов, секции FastTrack, круглого стола и конкурсов по живому взлому.

На аналитическом треке будут освещены такие области как:

• Киберпреступность, APT;

• Третья мировая в интернете;

• Тестирование на проникновение.

Технический трек будет посвящен реальным примерам уязвимостей в:

• Популярных WEB-сервисах: Google, Yandex, Vkontakte;

• Бизнес-приложениях: SAP, 1C,Documentum,Peoplesoft;

• Банковских приложениях: ДБО и АБС крупнейших российских производителей;

• Программно-аппаратных комплексах: АСУ ТП, токены, платежные терминалы, интернет-киоски, IP-телефоны;

• Платформах виртуализации;

• Технологиях передачи данных: 3G, LTE , IP-телефония;

• Расширениях web-браузеров и клиентских приложениях.

Fast-Track секция

Секция посвящена небольшим, но значимым исследованиям, а также просто интересным мыслям, идеям и наработкам о ситуации в нашей области. В течение 15 минут докладчики поведают без масок о наболевших проблемах и решениях, а также поднимут самые скользкие вопросы для обсуждений. Кроме этого, в конце трека любой участник конференции сможет получить свои 5 минут славы и представить свое исследование или обрисовать проблему или высказаться по теме непосредственно на конференции. Это будет самый неожиданный и захватывающий трек, где вы увидите тех, кого не ожидали увидеть. Следите за обновлениями данной секции в новостях.

Круглый стол

Конкурсы любят все, и мы решили провести их по-особенному. Желающим будут предоставлены настоящие программно-аппаратные комплексы и системы. В режиме онлайн на живых системах каждый сможет проверить свои способности по поиску новых уязвимостей типа 0-day. ACУ ТП, платежный терминал, сервер с SAP системой и еще много всего интересного. Помимо этого, будут конкурсы от наших партнеров на обход WAF, поиск уязвимостей, взлом замков –Lockpicking c призами - прикрепленными замками.

Результаты первого отбора заявок и выбранные доклады:

• Алексей Лукацкий (Cisco) в представлении не нуждается!

- Доклад "Бостонская матрица киберпреступности или какова бизнес-модель современного хакера?"

• Федор Ярочкин (Amorize) - хакер старой школы, наш соотечественник автор X-Probe, приехал к нам из Тайвани.

- Доклад «Анализ незаконной Интернет-деятельности»

• Самуил Шах(NetSquare) - известнейший специалист по безопасности, почетный гость на крупнейших международных конференциях и отличный спикер. Прилетит к нам из загадочной Индии.

- Доклад «Третья Веб-война»

• Алексей Синцов (DigitalSecurity) - автор новых методик эксплуатации и “убийца” ДБО представит новый триллер.

- Доклад «Где лежат деньги?»

• Дмитрий Частухин. Вы о нём ещё не знаете, зато он уже знает всё про вас. Автор уязвимостей в популярнейших WEB-сервисах представит практический доклад о живом взломе интернет-киосков и платёжных терминалов, разбросанных по всему миру.

- Доклад «Практические атаки на интернет-киоски и платёжные терминалы»

• Александр Матросов (ESET). Virus-Freeman излечит вас от новых типов троянов.

- Доклад "Современные тенденции развития вредоносных программ для систем ДБО"

• Александр Поляков (Digital Security). «Дайте мне SAP и я его сломаю», посмотрит мельком на безопасность других приложений в докладе:

- Доклад из секции FastTrack: «Не трогай, а то развалится: взлом бизнес приложений в экстремальных условиях».

За месяц до конференции будет объявлен итоговый список участников, прошедший предварительный отбор. Следите за новостями.

Такое событие просто невозможно пропустить. Если вы устали от постоянного засилья маркетинговых докладов на так называемых конференциях по безопасности и хотите увидеть неизвестные раннее угрозы и атаки, а также практические исследования из первых уст, быть на острие индустрии и увидеть первым, как на конкурсах будут взломаны критичные системы - вы просто обязаны присутствовать на этой конференции. Вместе мы сможем вывести российский рынок информационной безопасности и формат конференций на качественно новый уровень.

После конференции была проведена встреча с Security Response Team компании SAP по вопросам сотрудничества в области поиска и закрытия уязвимостей. Основным вопросом была оптимизация работы с внешними исследованиями и приоритезация уязвимостей, направленная на ускорение цикла закрытия особо критичных уязвимостей, время закрытия которых на данный момент доходит до 2х лет. Более тесное сотрудничество специалистов DSecRG с командой разработчиков и Response Team на всех этапах закрытия уязвимости и тестирования патчей позволит существенно сократить время выхода особо критичных обновлений.

Доклад доступен на сайте в разделе презентаций.

В период с 6 по 9 сентября в индийской силиконовой долине – electronic city (пригород Бангалора) проходила конференция по информационной безопасности – SecurityByte.

В качестве приглашенных были высшие руководители RSA, (ICS)2, EC-Council и доктор Вичфилд Диффи (отец криптографии с открытым ключом), а также такие высокопоставленные чиновники Индии, как губернатор штата Карнатака и генерал индийской армии.

Компания Digital Security приняла участие в секции докладов, тренингов и круглых столах. Александр Поляков выступил с докладом о безопасности J2EE движка SAP, а также провел однодневный тренинг по вопросам взлома и защиты SAP систем. Что примечательно, на докладе присутствовал один из разработчиков уязвимого приложения. Кроме того, Александр участвовал в круглом столе, посвященном безопасности мобильных устройств.

Напоминаем о том, что для защиты от представленных атак Digital Security разработала бесплатную утилиту ERPScan web.xml checker, которая является частью продукта ERPScan сканер безопасности SAP и позволяет проверить настройки безопасности J2EE приложений SAP на предмет наличия 9 различных ошибок конфигурации, что может помочь администратору самостоятельно настроить систему безопасно и понять, где присутствуют недостатки.

Следующие выступления Digital Security ожидаются в:

19 сентября – Brucon (Бельгия, Брюссель);

28-30 сентября – InfosecurityRussia (Россия, Москва);

12 октября –HITB KUL (Малайзия, Куала Лумпур);

25 октября – Hacker Halted (США, Майами).

В данном обновлении 3 уязвимостей были обнаружены сотрудниками DSecRG.

Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.

Подробный список исправленных уязвимостей:

• Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в одном из WEB-компонентов. Обновление доступно в sap note 1567389. Критичность по - CVSS 6.4.

• Межсайтовый скриптинг . Обновление доступно в sap note 1591749. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP.

• Уязвимость SMBrelay в одной из RFC функций, которая моет привести к получению доступа к ОС в случае если SAP работает на Windows платформе. Обновление доступно в sap note 1591146 Критичность по CVSS - 3.4.

Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAP Notes: 1567389, 1591749, 1591146

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.com и DSecRG.com. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.

Так, недавно на конференции 44con (английский Defcon) сотрудники компании Sensepost обратились к вопросам безопасности клиентских приложений SAP, продолжая ранее начатые исследования специалистов DSecRG. Сотрудники Sensepost сделали презентацию, показав вскрытие алгоритма кодирования данных протокола DIAG, который используется для передачи данных между клиентом и сервером SAP. Теоретическая возможность декодирования данных была известна в узких кругах давно, но практических примеров, кроме перехвата паролей, не было в публичном доступе. Специалисты из Sensepost опубликовали две утилиты, позволяющие полностью перехватывать, дешифровывать и модифицировать на лету клиент-серверные запросы, содержащие критичную информацию, тем самым открывая пути для различных MITM атак. Вторая утилита работает как Proxy и создана в большей степени для поиска новых уязвимостей, позволяя модифицировать запросы на клиент и сервер и искать новые уязвимости в обработке методом фаззинга.

Таким образом, не исключено, что в ближайшее время при наличии такого мощного инструмента количество новых уязвимостей в SAP может существенно вырасти.

Продолжая тему безопасности клиентских приложений SAP, мы напоминаем, что существует бесплатный сервис online.erpscan.com, разработанный экспертами Digital Security и позволяющий проверить SAP Frontend на наличие последних уязвимостей.

Ближайшие мероприятия:

6 сентября – SecurityByte (Индия, Бангалор);

19 сентября – Brucon (Бельгия, Брюссель);

28-30 сентября – InfosecurityRussia (Россия, Москва);

12 октября –HITB KUL (Малайзия, Куала Лумпур);

25 октября – Hacker Halted (США, Майами).

Ввиду критичности обнаруженной уязвимости, Digital Security разработала бесплатную утилиту ERPScan web.xml checker, которая является частью продукта ERPScan сканер Безопасности SAP и позволяет проверить настройки безопасности J2EE приложений SAP на предмет наличия 9 различных ошибок конфигурации, что может помочь администратору самостоятельно настроить систему безопасно и понять, где присутствуют недостатки.

Доклад Александра Полякова о новых угрозах безопасности J2EE движка платформы SAP NetWeaver еще до выступления вызвал большой резонанс в мировой прессе. После самого выступления, которое было высоко оценено слушателями и иностранными коллегами, данная новость была также широко освещена ведущими мировыми изданиями, такими как CIO, PCWORLD, ItProPortal, CbrOnline и многими другими, а также на внутреннем портале компании SAP.

Внимание прессы было уделено новой уязвимости, позволяющей манипулировать HTTP заголовками для обхода аутентификации в WEB-приложениях SAP. Таким образом, например, при посылке запроса HEAD вместо GET на интерфейс одного недокументированного приложения можно было выполнять практически любые действия в системе. Пример, который был продемонстрирован на конференции, показывал, как в системе анонимным запросом создавалась учетная запись с административными привилегиями, что могло быть использовано злоумышленником в дальнейшем для получения любых критичных данных и полного контроля над системой. Другое уязвимое приложение позволяет устроить атаку отказа в обслуживании, перезаписав любой файл в системе.

На данный момент компания SAP закрыла обнаруженную уязвимость только в двух приложениях, но по результатам исследований DSecRG потенциально уязвимы еще более 40 различных приложений SAP, а также приложения, разработанные пользователями. На сегодня не существует патчей, позволяющих защититься от проблемы в целом на уровне архитектуры, таким образом, необходимо анализировать каждый компонент (J2EE application) в отдельности, но Digital Security совместно с SAP работает над этим вопросом.

Помимо выступления, Александр дал интервью издательству Reuters , а также прокомментировал ситуации безопасности SAP в видео-интервью порталу InfosecIsland.

На русском языке подробности выступления будут освещены в следующем номере журнала Information Security, а также на круглом столе Risspa в рамках конференции InfoSecurity. На английском языке презентация и подробности исследования доступны на ERPScan.ru

Ссылки по теме:

http://www.sdn.sap.com/irj/scn/weblogs?blog=/pub/wlg/25792

http://www.itproportal.com/2011/08/05/sap-vulnerability-dawns-at-black-hat/

http://www.cio.com/article/687249/SAP_Will_Issue_Patch_for_NetWeaver_Vulnerability

http://www.pcworld.com/businesscenter/article/237373/sap_will_issue_patch_for_netweaver_vulnerability.html

http://www.reuters.com/article/2011/08/05/us-sap-security-idUSTRE7740B420110805

http://www.darkreading.com/compliance/167901112/security/application-security/231003085/over-half-of-sap-servers-on-the-internet-are-vulnerable-to-attack-researcher-says.html

http://security.cbronline.com/news/security-expert-reveals-new-class-of-vulnerabilities-in-sap-software-050811

http://podcasts.infoworld.com/d/security/the-10-scariest-hacks-black-hat-and-defcon-170259?_kip_ipx=949115097-1314167837

Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.

Набор обновлений содержит патчи для целого ряда крайне опасных уязвимостей, в том числе и тех, которые были опубликованы на недавней конференции BlackHat в Лас-Вегасе. Подробный список исправленных уязвимостей:

• Наиболее критичная уязвимость – Обход механизмов аутентификации и авторизации в JAVA движке и как следствие получение прав администратора на сервере. Обновление доступно в SAP Note 1589525. Критичность по - CVSS 10. Приоритет 1 по метрике SAP.

• Возможность создания в системе пользователя с любыми правами через CSRF атаку. Обновление доступно в SAP Note 1616058. Критичность по CVSS - 7.8. Приоритет 1 по метрике SAP.

• Выполнение произвольного кода ОС через уязвимый RFC модуль. Обновление доступно в SAP Note 1580017. Критичность по CVSS - 6.0. Приоритет 2 по метрике SAP.

• Межсайтовый скриптинг в SAP BW. Обновление доступно в SAP Note 1572325. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP.

• Уязвимость SMBrelay в одном из отчётов. Обновление доступно в SAP Note 1583286 Критичность по CVSS - 2.3. Приоритет 2 по метрике SAP.

Подробности двух первых перечисленных уязвимостей а также прочая информация о безопасности J2EE приложений платформы SAP доступны в документе http://erpscan.com/wp-content/uploads/2011/08/A-crushing-blow-at-the-heart-SAP-J2EE-engine_whitepaper.pdf

Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAP Notes: 1589525, 1616058, 1580017, 1572325, 1583286

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.ru и DSecRG.ru. Проверки на наличие данных уязвимостей уже сейчас доступны в сканере ERPScan сканер безопасности SAP.

Системы SAP используются в более чем ста тысячах крупнейших мировых компаний для обработки критичных для бизнеса данных и процессов. Практически в каждой компании из Forbes 500 установлены данные системы для обработки любого процесса, начиная от закупки и управления персоналом и заканчивая финансовой отчетностью и связью с другими бизнес-системами. Таким образом, получение злоумышленником доступа к данной системе влечет за собой полный контроль над финансовыми потоками компании, что может быть использовано для шпионажа, саботажа и мошеннических действий в отношении взломанной компании.

Данный взлом возможен из—за особо опасной уязвимости нового типа, обнаруженной Александр Поляковым в JAVA-движке программного обеспечения SAP, которая позволяет с помощью двух запросов к системе создать в ней пользователя и назначить ему права администратора. Опасность также заключается в том, что атака возможна даже на системы, защищенные системами двухфакторной аутентификации, в которых для доступа нужно знать секретный ключ и пароль.

Для доказательства исследователями из компании Digital Security была написана программа, которая обнаруживает серверы SAP в Интернет при помощи секретной поисковой строки в Google и проверяет обнаруженные серверы на опасную уязвимость. В результате этого оказалось, что более половины из доступных серверов можно взломать при помощи обнаруженной уязвимости.

"Опасность заключается еще и в том, что это не просто новая уязвимость, а целый класс уязвимостей, и нами пока обнаружено только несколько примеров в стандартной конфигурации системы, но так как каждая компания кастомизирует систему под свои бизнес-процессы, то новые примеры уязвимостей данного класса могут быть потенциально обнаружены в будущем у каждой компании. Мы разработали программу, которая является модулем нашего продукта ERPScan сканер безопасности SAP, которая может обнаруживать уникальные уязвимости данного типа для того, чтобы компании могли вовремя защититься. Данный модуль будет также отдельно доступен бесплатно на сайте компании",— отметил Александр Поляков, технический директор компании Digital Security.

Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.

Наиболее критичная уязвимость обнаружена в транзакции BAPI и позволяет выполнять неавторизированные действия от имени других пользователей, в том числе и получение доступа к их рабочим станциям, а также выполнение транзакций от их имени. Обе уязвимости имеют средний уровень критичности, (5.5 и 4.3 по шкале CVSS).
Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAP Notes:1546307, 1599550

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.ru и DSecRG.ru.

Также специалисты DSecRG опубликовали подробности уязвимостей, закрытых 3 месяца назад, в марте 2011, на сайтах erpscan.ru и DSecRG.ru.

Конференция BlackHat славится представлением новейших исследований и уникальных, неизвестных до момента выступления атак, о которых рассказывают ведущие исследователи со всего мира. В этом году на конференции также выступят исследователи из NSA, U.S. Army, Carnegie Mellon University, Stanford, Intel, IBM, Symantec, McAfee, Qualys, Verizon, Rapid7 и многие другие.

Кроме того, сотрудники Digital Security вошли в состав российской команды «IV», которая заняла 4 место в международных соревнованиях Defcon CTF . Впервые в истории, в финале игр CTF Defcon принимает участие команда из России. Команда, именуемая «IV» («four», то есть четверка) является сборной из четырех отечественных команд — «Leet More», «Smoked Chicken», «SiBears», «HackerDom». В результате тяжелых и сложных отборочных игр команде удалось занять четвертое место и попасть в финал, который пройдет на конференции Defcon в Лас-Вегасе. Стоит отметить, что капитан команды «Leet More» — Александр Миноженко, сотрудник департамента аудита информационной безопасности компании Digital Security.

Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.

Обе уязвимости имеют средний уровень критичности (5.0 и 4.3 по шкале CVSS). Уязвимости затрагивают ряд приложений, установленных на Net Weaver J2EE Engine, и позволяют злоумышленнику получить доступ к сессии пользователя.
Настоятельно рекомендуется установить обновления, закрывающие данные уязвимости.

Информация по обновлениям доступна из следующих SAP Notes: 1545883, 1562292

Рекомендации, раскрывающие технические детали данных уязвимостей, будут доступны через 3 месяца на сайтах erpscan.ru и DSecRG.ru.

«Патч для закрытия уязвимости вышел в апреле, но мы решили дать пользователям ещё один месяц на установку данного обновления, прежде чем опубликовывать код эксплоита.
Данное исследование проводилось в рамках исследований в области безопасности бизнес приложений и разработки автоматизированного сканера безопасности ERPScan, нацеленного на аудит защищённости бизнес-приложений, который на данный момент реализован для аудита системы SAP» — прокомментировал Александр Поляков, технический директор Digital Security и руководитель исследовательского центра DSecRG.

Подробности об уязвимостях доступны на сайте http://erpscan.ru и 

http://erpscan.ru/advisories/dsecrg-11-021-oracle-bi-%E2%80%94-wb_olap_aw_remove_solve_id-%E2%80%93-%D0%BF%D0%BE%D0%B2%D1%8B%D1%88%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BF%D1%80%D0%B8%D0%B2%D0%B8%D0%BB%D0%B5%D0%B3%D0%B8%D0%B9/

http://erpscan.ru/advisories/dsecrg-11-020-oracle-bi-%E2%80%94-wb_olap_aw_set_solve_id-%E2%80%93-%D0%BF%D0%BE%D0%B2%D1%8B%D1%88%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BF%D1%80%D0%B8%D0%B2%D0%B8%D0%BB%D0%B5%D0%B3%D0%B8%D0%B9/

Ознакомиться с продуктом можно по следующей ссылке: http://erpscan.ru/

«Этот долгожданный продукт является результатом наших исследований в области безопасности SAP, проводимых DSecRG с 2008 года. Он аккумулировал весь наш опыт исследований и консалтинга, а также все передовые наработки в области анализа безопасности SAP, используемые международными компаниями. Отсутствие продуктов в данной нише не только в России, но и за рубежом на момент старта проекта заставило нас разработать собственное решение, позволяющее максимально удобно и полно анализировать системы SAP на безопасность. Мы не ошиблись, область стала актуальной, и сейчас на рынке стали появляться подобные решения, реализующие тот или иной функционал нашего сканера, что обуславливает необходимость существования данной ниши продуктов на рынке, как это было 5 лет назад на заре появления сканеров WEB-приложений, а несколько позже и сканеров СУБД. Выход ERPScan сканера безопасности SAP — это очередной шаг по укреплению наших лидирующих позиций в области оценки защищенности SAP и других ERP систем. Сотрудничая с SAP в течение многих лет, на данный момент мы являемся ведущим в мире партнером SAP в области обнаружения и устранения уязвимостей, получая ежемесячные благодарности за обнаруженные уязвимости. Это позволяет нам работать на повышение защищенности SAP систем не только от текущих угроз, но и быть на несколько шагов впереди, реализуя проактивную защиту от последних угроз и уязвимостей для наших клиентов», — прокомментировал Александр Поляков, технический директор Digital Security и руководитель исследовательского подразделения DSecRG.

SAP Форум традиционно проводится под эгидой мирового турне SAP World Tour, проходящего более чем в 50 странах мира и ежегодно собирающего представительную аудиторию клиентов, партнеров, экспертов рынка и журналистов.

В этом году SAP Форум в Москве проводится в рамках глобальной программы Connected SAP World Tour, которая объединит Форумы в различных странах Европы с глобальной конференцией SAP в Орландо (США) — Sapphire Now.

Эксперты с мировым именем расскажут участникам об основных тенденциях и последних технологических новинках в автоматизации бизнес-процессов. Кроме того, в этом году Форумы SAP пройдут также в Казахстане и Украине.

Digital Security принимает активное участие в форуме. На мероприятии посетители смогут ознакомиться с новым продуктом компании — специализированным сканнером безопасности ERPScan Security Scanner for SAP, а также посмотреть презентации специалистов компании, посвященные практическим аспектам безопасности SAP и последним тенденциям в этой области.

Участие в конференции бесплатное после прохождения регистрации:
http://sap-events.ru/register/event-register.aspx?eventId=22

Программа конференции и описание места проведения доступны на сайте:
http://sap-events.ru/moscow-forum2011