Architecture of SAP HANA 2.0 | HANA 2.0 Training | HANA 2.0 for Beginners
Perusahaan Polyakov mengkhususkan diri dalam menguji perisian perancangan sumber daya perusahaan (ERP) dari perusahaan seperti Oracle dan SAP untuk tujuan keamanan.
Pembacaan lanjut: Cara menghapuskan malware dari PC Windows Anda
Lebih baru-baru ini, "matlamat kami adalah untuk memahami jika kita boleh mendapat akses kepada lebih banyak data dan pelayan lain di syarikat itu, "jelas Polyakov.
Apa yang dijumpai adalah bahawa ia mungkin untuk mendapat akses kepada maklumat seperti kata laluan pengguna dan kekunci root kerana mereka biasanya disimpan menggunakan yang sama kunci penyulitan lalai merentas sistem Hana, memberi peluang kepada penggodam yang berpotensi mudah.
"Kuncinya adalah sama untuk setiap pemasangan sehingga pentadbir mengubahnya," kata Polyakov. "Selepas beberapa ujian penembusan lain kami mendapati tiada siapa yang benar-benar menukar kunci ini."Isu yang sama ada pada platform mudah alih SAP, tambahnya. Secara khusus, kata laluan aplikasi yang disimpan dalam fail konfigurasi telah disulitkan dengan kekunci lalai yang sama dalam setiap pemasangan.
Sekurang-kurangnya salah satu kelemahan suntikan SQL di Hana telah ditambal, kata Polyakov. Di samping itu, garis panduan dan saranan SAP sendiri menetapkan bahawa kunci induk harus diubah, kata Polyakov.
"Malangnya, sangat sedikit pelanggan mengikuti saranan itu," katanya.
SAP bekerja rapat dengan syarikat luar termasuk ERPScan ke memastikan keselamatan produknya, kata syarikat dalam satu kenyataan.
"Cadangan kami kepada semua pelanggan kami adalah untuk mengikuti nasihat dalam Panduan Keselamatan SAP Hana dan menukar kunci induk statik yang dikeluarkan dengan produk kami,"
Sekiranya masalah itu wujud dalam kod SAP, kemungkinan ada masalah yang sama dalam aplikasi khusus yang dikembangkan oleh pihak ketiga atau oleh pemaju dalam rumah "yang kurang menyedari pembangunan yang selamat dan dapat membuat lebih banyak kesalahan," Polyakov
Sudah biasa untuk perisian untuk menggunakan kata laluan lalai, katanya.
"Sekarang kita mempunyai masalah baru: kunci penyulitan dengan nilai lalai," katanya.
Akhirnya, Polyakov menambah, "Vendor akan memberi pengguna pilihan untuk memasukkan kunci keselamatan semasa pemasangan dan bukan meletakkan di dalam 160 halaman dokumen yang kunci lalai harus diubah. "
SAP Hana, penyelidik keselamatan memberi amaran tentang kelemahan yang berpotensi serius di dalam platform ingatan.
"Jika penyerang dapat mengeksploitasi kelemahan ini, ia dapat memperoleh akses ke semua data yang disulik yang disimpan dalam pangkalan data SAP Hana," kata Alexander. Polyakov, CTO dengan ERPScan, yang menyampaikan butiran pada hari Khamis di persidangan Black Hat Sessions XIII di Belanda.
Cisco memberi amaran pada hari Isnin tentang kelemahan yang serius yang terdapat di Internet- kawalan termostat yang berkaitan, yang dikatakan adalah tipikal di kalangan produk vendor yang tidak mahir dalam keselamatan rangkaian.
Cisco memberi amaran pada hari Isnin mengenai kelemahan serius yang ditemui dalam kawalan termostat yang berkaitan dengan Internet, yang dikatakan tipikal di kalangan produk vendor yang tidak mahir dalam keselamatan rangkaian.
