Компания Digital Security обнаружила серьезную проблему безопасности в SAP HANA. Из-за того, что в системе защиты платформы имеются недоработки, злоумышленники потенциально могут получить доступ к паролям пользователей системы и ключам шифрования, а после этого — ко всем данным предприятия, которые обрабатывает данное решение.
На сегодняшний день пользователями решения SAP HANA (High performance ANalytic Appliance) — платформы для управления базами данных, предназначенной для обработки больших объемов информации в режиме реального времени — являются тысячи компаний по всему миру, в том числе входящие в список Fortune 100. Согласно SAP HANA, число активных пользователей платформы из сферы производства, финансов, ИТ и розничных продаж превышает 815 тысяч человек.
Суть проблемы заключается в том, что заказчики SAP HANA не меняют статический мастер-ключ, который в каждой инсталляции платформы HANA один и тот же во всем мире. Завладев им, хакер может получить доступ ко всем данным на платформе. Специалистам Digital Security удалось получить статический ключ во время проведения исследований и анализа программного кода данного решения. Воспользоваться наличием существующей проблемы и получить доступ к конфиденциальным данным могут злоумышленники, атакующие как клиента SAP-системы, так и сервер. Получив доступ к зашифрованной информации, хакеру не составит труда попасть в HANA-систему.
Проблема была обнаружена Дмитрием Частухиным, директором департамента аудита SAP, год назад, и впервые упомянута на конференции Confidence в Польше. Корпорация SAP была уведомлена о наличии бреши в системе защиты, однако до сих пор проблема не устранена.
