Malware může z ERP pronikat do průmyslových systémů SCADA

Pavel Houser , 12. únor 2016 10:00 0 komentářů

SAP vydal bezpečnostní aktualizace, které opravují celkem 23 zranitelností.

Jedna z kritických oprav je určena pro komponentu SAP Manufacturing Integration and Intelligence, která se užívá hlavně v energetice, sektoru utilit a výrobních firmách. Konkrétně se jedná o chybu typu directory traversal (průchod adresáři). Komponenta funguje jako propojení mezi podnikovým softwarem (ERP apod.) a samotnými průmyslovými zařízeními (ICS/SCADA), takže zneužití může obnášet i průnik malwaru typu Stuxnetu přímo do průmyslových systémů.

Na řadu z chyb upozornili výzkumníci firmy ERPScan. Nejčastěji postiženým produktem je integrační platforma SAP NetWeaver, a to na úrovni implementace Javy (J2EE). Většina zranitelností znamená riziko cross-site scripting nebo možnost obejít autorizaci. Některé z opravených chyb jsou podle ERPScan toho typu, jaký byl demonstrován už na loňské konferenci Black Hat.

Řadu oprav se doporučuje instalovat neprodleně. Tento týden vydaly aktualizace i Microsoft, Adobe a Oracle (viz Únorové opravy: Zranitelnosti řeší Microsoft, ale i Adobe či Oracle), takže v mnoha odděleních IT může být i přes míru automatizace těchto procesů celkem napilno. ERP systémy či databáze ovšem správci často neaktualizují, protože do jednou fungující produkční aplikace raději nikdo nevrtá; což je sice pochopitelné, ale taktéž pochopitelně jde o hodně riskantní přístup.


Komentáře


RSS 

Zprávičky

Microsoft propustí další tisíce zaměstnanců. Kvůli chytrým telefonům

ČTK , 29. červenec 2016 15:00

Softwarový gigant Microsoft propustí dalších 2850 zaměstnanců, což je zhruba 2,5 procenta celkové pr...

Více 0 komentářů

Online housing českých serverů nově od 1U

Petr Velecký , 29. červenec 2016 12:30

Serverový prodejce Czech-Server.cz přichází s nabídkou housingu pro zákazníky, kteří si zakoupí serv...

Více 0 komentářů

Oracle koupí za 9,3 miliardy dolarů firmu NetSuite

ČTK , 29. červenec 2016 11:00

Americký Oracle koupí za 9,3 miliardy dolarů (226,7 miliardy Kč) firmu NetSuite, která se zaměřuje n...

Více 0 komentářů

Starší zprávičky

Facebook prudce zvýšil čtvrtletní zisk i tržby

ČTK , 28. červenec 2016 18:00

Čistý zisk internetové sítě Facebook se ve druhém čtvrtletí téměř ztrojnásobil na 2,1 miliardy dolar...

Více 0 komentářů

ČTÚ dal O2 pokutu 4,5 milionu Kč za automatické dokupování dat

ČTK , 28. červenec 2016 13:30

Český telekomunikační úřad vyměřil operátorovi O2 pokutu 4,5 milionu korun za automatické obnovování...

Více 0 komentářů

NBÚ upozorňuje vládu na "bílá místa" v kybernetické bezpečnosti

ČTK , 28. červenec 2016 11:00

Ve veřejné správě je citelný nedostatek odborníků na kybernetickou bezpečnost, nedostatečná je také ...

Více 0 komentářů

Google testuje šifrování odolné proti kvantovým počítačům

Pavel Houser , 27. červenec 2016 15:00

Google testuje, jak by se v rámci prohlížeče Chrome mohla uplatnit „post-kvantová“ kryptografie, ted...

Více 0 komentářů