Благодаря специалистам из Digital Security закрыта опасная уязвимость в JAVA-машине
25.10.2012
Digital Security получила благодарность от компании Oracle за помощь в закрытии опасной уязвимости в JAVA-машине. Подобную уязвимость Александр Поляков, технический директор Digital Security,представил публике летом на конференции BlackHat: она была обнаружена в JVM, используемой в платформе SAP NetWeaver. Почти сразу же эта проблема, как уже сообщали Digital Security, нашлась в виртуальной машине JVM от Oracle и в относительно краткие сроки была устранена благодаря сотрудничеству специалистов исследовательской лаборатории Digital Security с Oracle.
Уязвимость класса SSRF (в данном случае эксплуатировался метод XXE Tunneling) позволяет проксировать злонамеренные запросы через уязвимый хост и таким образом проводить продвинутые атаки.
"Данный тип атак очень интересен, и в ходе последних работпо тестам на проникновение наш отдел аудита выявляет данные проблемыпрактически в каждой системе, будь то интернет-банкинг или корпоративный портал на основе SAP. А ведь это означает возможность нетолько скомпрометировать целевую систему, но и проникнуть внутрь корпоративных ресурсов к таким системам, как АБС, ERP и прочие, связанные с внешними системами", – отметил руководитель отдела аудита ИБ Алексей Тюрин.
"На самом деле тема SSRF-уязвимостей гораздо шире. На конференции POC в Сеуле 8 ноября мы представим их новую классификацию.Кстати, на конференции ZeroNights, которая пройдет 19 и 20 ноября в Москве, тема SSRF будет рассмотрена еще как минимум в двух докладах других исследователей, что позволит слушателям получить более широкое представление о деталях и особенностях различных векторов SSRF-атаки. В целом, уязвимости данного класса сейчас являются одним из наиболее интересных направлений исследований безопасности",–добавил Александр Поляков.
