Компания Pathlock представила отчёт, посвящённый техническому анализу хранилища пользовательской информации в SAP GUI. В документе подробно описаны две уязвимости, которые затрагивают версии интерфейса для Windows и Java, нарушая правила безопасной обработки персональных и корпоративных сведений.
Исследование показало, что история ввода — механизм, предназначенный для автоматического заполнения полей ввода в SAP — хранит чувствительные данные в уязвимом виде. В случае с Windows используется база SQLite3, размещённая в каталоге «%APPDATA%\LocalLow\SAPGUI\Cache\History», где применён статичный XOR-алгоритм. Это означает, что при наличии одного известного элемента злоумышленник способен расшифровать всю базу, включая логины, номера счетов и другую служебную информацию.
Версия SAP GUI для Java демонстрирует ещё более опасный подход. Там история ввода сохраняется в виде сериализованных объектов без какого-либо шифрования. Это создаёт условия, при которых любой, получивший доступ к файловой системе, способен не только извлечь данные, но и использовать их для дальнейших атак, перемещения по сети или составления фальшивых писем и уведомлений.
Исследование было проведено при участии специалистов Fortinet и SAP. В отчёте подчёркивается, что подобные недостатки могут повлечь за собой серьёзные нарушения регламентов GDPR, PCI DSS и HIPAA, если информация окажется в распоряжении третьих лиц.
Маюреш Дани, отвечающий за исследовательскую работу в Qualys, отметил, что данные уязвимости создают опасность для всей архитектуры SAP GUI. По его оценке, масштабы проблемы касаются не только частных компаний, но и государственных структур, поскольку упрощают доступ к закрытым системам путём использования плохо защищённых локальных архивов.
Оригинал публикации на сайте CISOCLUB: "Pathlock: история ввода в SAP GUI подвергает риску конфиденциальные данные пользователей из-за слабого шифрования".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.