28.01.2011
DSecRG: на защите клиентских бизнес-приложений
Безопасность рабочих станций конечных пользователей, работающих с бизнес-приложениями, не менее важна, чем безопасность серверов бизнес-приложений. Используя уязвимое клиентское ПО, злоумышленник может попасть на рабочую станцию пользователя компании через сеть Интернет и после этого с использованием троянских программ атаковать серверы бизнес-приложений или подключиться к ним, используя учётную запись пользователя подвергнутого атаке. В рамках деятельности исследовательского центра DsecRG в течение прошлого года проводился анализ безопасности различного клиентского ПО для популярных бизнес-приложений всемирно известных производителей SAP и Oracle, и информация о найденных уязвимостях отправлялась производителям.
В результате данных работ за последний месяц производителями были исправлены следующие уязвимости в различных продуктах:
- удалённое выполнение кода в SAP NetWeaver BusinessClient:
http://dsecrg.ru/pages/vul/show.php?id=210
- двe уязвимости удалённого выполнения кода в SAP GUI:
http://dsecrg.ru/pages/vul/show.php?id=169
http://dsecrg.ru/pages/vul/show.php?id=170
- четыре уязвимости выполнения кода и выполнения небезопасных методов в продукте Oracle Document Capture:
http://dsecrg.ru/pages/vul/show.php?id=304
http://dsecrg.ru/pages/vul/show.php?id=305
http://dsecrg.ru/pages/vul/show.php?id=306
http://dsecrg.ru/pages/vul/show.php?id=307
- множественные небезопасные методы в продуктах SAP Crystal Reports:
http://dsecrg.ru/pages/vul/show.php?id=302
За проделанную работу специалистам DSecRG были выражены благодарности от компании SAP в пакете обновлений за декабрь 2010 года и январь 2011 года , а также от компании Oracle за январь 2011 года.
Для повышения осведомлённости пользователей в вопросах безопасности клиентских приложений, а также для сбора данных о текущем уровне безопасности пользователей был разработан бесплатный сервис Erpscan Online, позволяющий пользователям проверить наличие уязвимостей в их клиентском программном обеспечении и посмотреть обучающие ролики, повышающие осведомлённость в области безопасности. Сервис работает в режиме финального Beta-тестирования.
На данный момент анализируется безопасность наиболее популярной программы SAP GUI. В дальнейшем планируется дополнить сервис другими популярными клиентскими бизнес-приложениями. Помимо этого на сайте erpscan.com можно будет ознакомиться с последними новостями в области безопасности SAP и других ERP-систем, а также исследованиями DSecRG в области поиска и анализа уязвимостей.