Malware může z ERP pronikat do průmyslových systémů SCADA

Pavel Houser , 12. únor 2016 10:00 0 komentářů

SAP vydal bezpečnostní aktualizace, které opravují celkem 23 zranitelností.

Jedna z kritických oprav je určena pro komponentu SAP Manufacturing Integration and Intelligence, která se užívá hlavně v energetice, sektoru utilit a výrobních firmách. Konkrétně se jedná o chybu typu directory traversal (průchod adresáři). Komponenta funguje jako propojení mezi podnikovým softwarem (ERP apod.) a samotnými průmyslovými zařízeními (ICS/SCADA), takže zneužití může obnášet i průnik malwaru typu Stuxnetu přímo do průmyslových systémů.

Na řadu z chyb upozornili výzkumníci firmy ERPScan. Nejčastěji postiženým produktem je integrační platforma SAP NetWeaver, a to na úrovni implementace Javy (J2EE). Většina zranitelností znamená riziko cross-site scripting nebo možnost obejít autorizaci. Některé z opravených chyb jsou podle ERPScan toho typu, jaký byl demonstrován už na loňské konferenci Black Hat.

Řadu oprav se doporučuje instalovat neprodleně. Tento týden vydaly aktualizace i Microsoft, Adobe a Oracle (viz Únorové opravy: Zranitelnosti řeší Microsoft, ale i Adobe či Oracle), takže v mnoha odděleních IT může být i přes míru automatizace těchto procesů celkem napilno. ERP systémy či databáze ovšem správci často neaktualizují, protože do jednou fungující produkční aplikace raději nikdo nevrtá; což je sice pochopitelné, ale taktéž pochopitelně jde o hodně riskantní přístup.


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
26. 09.

26. 08.
Affiliate konferencia 2017
RSS 

Zprávičky

Důvěra Čechů v e-shopy roste

Pavel Houser , 23. září 2017 09:00

Drtivá většina české internetové populace nakupuje on-line dlouhodobě, dále však narůstá četnost nák...

Více 0 komentářů

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Starší zprávičky

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů

Apple přiznává: Nové hodinky mají problémy s připojením

ČTK , 22. září 2017 08:00

Problémy s konektivitou mají hodinky v okamžiku, kdy mají použít veřejnou wi-fi síť....

Více 0 komentářů

Spíše než nové zákony k Airbnb je třeba zlepšit výběr daní

ČTK , 21. září 2017 13:00

Airbnb se svými službami v Praze už vyrovnala objemu obchodu klasických ubytovacích zařízení....

Více 0 komentářů

Potvrzeno: Google opravdu kupuje část HTC

ČTK , 21. září 2017 11:25

Dnes je HTC v žebříčku světových prodejů smartphonů na necelém procentu. Někteří analytici proto pří...

Více 0 komentářů