Компания Digital Security, специализирующаяся на анализе защищенности систем и исследованиях в области ИБ, предупреждает о выявлении опасных уязвимостей в SAP HANA, инновационном продукте компании SAP. По некоторым данным, эта платформа используется сегодня уже в 6400 крупных организациях по всему миру. Более того, SAP HANA сертифицирована в России ФСТЭК, и предлагается в качестве облачного решения совместно с оператором «Ростелеком».
Критичная уязвимость, обнаруженная исследователями Digital Security, позволяет реализовать удаленное выполнение команд в БД SAP HANA без авторизации. Таким образом, злоумышленник может получить полный контроль над HANA, и, как следствие, - доступ к конфиденциальным данным, хранящимся в ней, к исходным кодам приложений, конфигурационным файлам и системным настройкам.
Патч для данной уязвимости был выпущен вместе с уведомлениями об устранении брешей в других системах, всего в перечне содержится 29 пунктов. Стоит отметить, что описанная выше проблема безопасности была закрыта в рекордные сроки – за 2 недели, в то время как обычно на этот процесс у разработчика уходит несколько месяцев, а то и лет. Возможно, столь высокая скорость связана с тем, что безопасность облачных технологий – особо критичная сфера, поскольку ее компрометация может привести к тому, что злоумышленники получат доступ к конфиденциальным данным множества организаций.
Специалисты Digital Security уже не раз находили различные проблемы безопасности в SAP HANA. К примеру, недавно был выявлен факт использования одинаковых ключей для шифрования на всех HANA-системах в мире: (http://dsec.ru/news/press
Компания Digital Security рекомендует пользователям БД SAP HANA незамедлительно закрыть критичную уязвимость, установив SAP Notes 2197428:
