Досудебная претензия
Консалтинговая корпорация Pricewaterhousecoopers (PwC) безуспешно попыталась запретить публикацию сведений о серьезной уязвимости, которую в ее программной разработке на добровольных началах обнаружила немецко-американская фирма ESNC, специализирующаяся на исследовании безопасности систем SAP.
Юристы PwC грозили ESNC юридической расправой и дважды направляли в компанию досудебные претензии с требованием не предавать гласности баг, выявленный в ее продукте Automated Controls Evaluator (ACE) для ERP-системы SAP.
В ESNC решили, что подчиняться этим требованиям не станут, и в начале декабря 2016 г. опубликовали данные об уязвимости в свободном доступе. Баг был обнаружен еще в августе 2016 г., о чем PwC была поставлена в известность в тот же момент. После этого в ESNC просто выдержали принятый в отрасли период в три месяца, который обычно дается создателям уязвимой системы на устранение ошибок, прежде чем они станут общим достоянием.
Уязвимость была выявлена в версии ACE 8.10.304 и, вполне вероятно, присутствует и в более ранних версиях. После выхода нежелательной для разработчиков ACE информации, представители PwC выступили с утверждением о том, что ошибка уже исправлена, и что вероятность ее эксплуатации очень невелика.
Суть проблемы
ACE представляет собой диагностический инструмент для SAP, написанный программистами PwC. ACE извлекает из систем SAP информацию о настройках и безопасности, анализирует ее на предмет наличия ошибок, уязвимостей и бэкдоров, и автоматически генерирует отчет для ИТ-специалистов, работающих с системой.
Исследователи ESNC обнаружили в ACE серьезные ошибки, позволяющие хакерам удаленно производить манипуляции с документами внутри ERP-системы SAP, запускать произвольный код и устанавливать бэкдоры.
По утверждению исследователей ESNC, уязвимость позволяет злоумышленникам производить всевозможные манипуляции с бухгалтерскими документами, финансовыми отчетами, обходить ограничения на доступ к определенным данным и менять внутренние настройки управления.
"Следствием этого могут стать мошеннические действия, хищение или видоизменение конфиденциальных данных, включая персональные, например, исходные данные о клиентах, информация о расчетах с персоналом, несанкционированные финансовые транзакции", — говорится в отчете ESNC.
Комментарии сторон и внешних экспертов
Генеральный директор российской компании "Монитор безопасности" Дмитрий Гвоздев в разговоре с CNews отметил, что подобные ситуации на рынке не редкость, и досудебные претензии — это еще не самая жесткая реакция. Например, весной этого года программист и исследователь безопасности компьютерных систем Джастин Шэфер (Justin Shafer) был задержан агентами ФБР после того, как обнаружил общедоступный FTP-сервер с личными данными клиентов крупной стоматологической клиники Patterson Dental, и уведомил руководство этой организации о своей находке. В ответ компания Pattersonподала против него жалобу о нарушении Акта о компьютерном мошенничестве и злоупотреблении.
Со своей стороны, исполнительный директор ESNC Эртунга Арсал (Ertunga Arsal) отметил, что впервые сталкивается с подобной реакцией. Исследователи ESNC ранее помогли найти и заделать более сотни серьезных багов в разработках SAP и других производителей ПО, и никаких претензий не получали.
В PwC продолжают пребывать в уверенности, что ESNC не имели права проводить аудит безопасности ACE уже потому, что у них не было законной возможности получить доступ к этой программе. Она доступна только лицензированным партнерам PwC, а ESNCк ним не относится.
Описанный в бюллетене ESNC сценарий атаки представители PwC назвали "гипотетическим и маловероятным", отметив, что у них нет сведений о фактических попытках эксплуатации уязвимости.