Хакеры научились лишать людей работы, взломав SAP

14 сен 2017 12:40 #61192 от ICT
Баг как фактор найма Эксперты фирмы SEC Consult обнаружили весьма досаднуюуязвимость в системе рекрутинга SAP E-Recruiting, которая позволяетзлоумышленникам вмешиваться в процесс найма и блокировать подачу заявоксоискателями. Обычно, когда соискатель регистрируется в корпоративномприложении E-Recruiting, ему приходит ссылка на электронную почту с просьбойподтвердить доступ к почтовому ящику. Однако эту процедуру можно обойти,поскольку злоумышленники вполне могут зарегистрировать и «подтвердить»электронные адреса, к которым у них доступа нет. То есть, злоумышленник может зарегистрировать почтовыйадрес, который ему не принадлежит, что может иметь существенные последствия длябизнеса — деловые процессы во многом зависят от достоверности информации опочтовых адресах. [img]http://filearchive.cnews.ru/img/news/2017/09/14/haker700.jpg"> Уязвимость в SAP E-Recruiting позволяет хакерам ломать карьеры Более того, поскольку почтовый адрес может бытьзарегистрирован только один раз, злоумышленник может воспрепятствоватьрегистрации легитимных соискателей в E-Recruiting. Уязвимость затрагивает версии 605, 606, 616 и 617. Она былавыявлена в июле 2017 г. В SAP довольно оперативно откликнулись и подтвердилипроблему. Патч и бюллетень безопасности были выпущены одновременно 12 сентября. [b]Неуникальная величина[/b] Согласно описанию экспертов SEC Consult, в письме оподтверждении адреса содержится ссылка с параметром HTTP GET, в которой спомощью Base64 закодированы параметры «candidate_hrobject» и «corr_act_guid».Первый из них представляет собой идентификатор пользователя, задаваемый вприращениях; второй — это произвольная величина, используемая при подтверждениипочтового адреса. Однако эта величина не привязана к конкретной заявке, азначит, можно повторно использовать величину из какой-либо предыдущейрегистрации пользователя. А поскольку значение «candidate_hrobject»поступательно увеличивается, злоумышленник может эту величину угадать. Злоумышленник, который хочет зарегистрировать почтовый адрес,не принадлежащий ему, может сделать следующие шаги: зарегистрироваться ссобственным почтовым адресом; сразу после этого зарегистрировать чужой адрес;считать величину «candidate_hrobject» из ссылки, полученной при своейрегистрации; увеличить это значение на единицу; внедрить в запрос HTTP GET вписьме о подтверждении второго адреса эту величину и добавить туда же параметр «corr_act_guid»из письма на подтверждение своего исходного адреса (тогда адрес жертвы будетсчитаться подтвержденным, и она потеряет возможность работы с рекрутинговойсистемой). Если это не сработает, можно попытаться еще увеличить значения «candidate_hrobject»— в системе могли успеть зарегистрироваться и подтвердить свои адреса другиелюди. «Эта атака возможна потому, что в ссылке на подтверждениеотсутствует уникальный одноразовый идентификатор, — говорит [b]Георгий Лагода[/b], генеральный директорSEC Consult Services. — Простота эксплуатации делает эту уязвимость довольноопасной как для соискателей, так и для бизнеса. Соискатели могут пострадатьособенно сильно — ничто не помешает злоумышленникам начать"регистрировать Your browser does not support the video tag. CNews Forum 2017: Информационные технологии завтра Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Хакеры научились создавать ботнеты из легального ПО12.73Среда, 12 сентября 2018
    Хакеры научились взламывать компьютеры через беспроводные мыши12.46Четверг, 24 марта 2016
    Хакеры научились майнить криптовалюты через браузеры пользователей12.46Понедельник, 18 сентября 2017
    Хакеры научились подменять адреса Bitcoin-кошельков при копипасте12.46Вторник, 23 января 2018
    Хакеры научились заражать ПК на Windows документами Word без макросов12.46Среда, 11 апреля 2018
    Хакеры научились взламывать сеть с помощью “физического” проникновения12.46Пятница, 16 августа 2019
    Хакеры научились «ломать» Linux-сервера, чтобы добывать криптовалюту12.33Среда, 17 января 2018
    Хакеры научились делать "вечный джейлбрейк" iPhone и iPad, получив доступ к ядру iOS12.07Понедельник, 16 февраля 2015
    Хакеры продают данные 1,1 млн пользователей сайта знакомств «для красивых людей»11.75Четверг, 28 апреля 2016
    Будущее работы: Большинство людей задумывается о смене деятельности, в приоритете - ИТ и медицина10.6Вторник, 24 января 2023

    Мы в соц. сетях