10 мая 2012 года технический директор Digital SecurityАлександр Поляков выступил на международной конференции Kuwait Info Security 2012 с докладом "Tоп-10 наиболее интересных уязвимостей SAP". Он рассказал о таких уязвимостях, как переполнение буфера в ядерной функции приложения SAP NetWeaver, отказ в обслуживании в WEB-интерфейсе SAP NetWeaver ABAP, недостаточное шифрование паролей в SAPGUI, специфические уязвимости языка ABAP.
Первое место в Топ-10 получила уязвимость типа "обход аутентификации", о которой Александр Поляков рассказывал на конференции BlackHat в Лас-Вегасе, в августе 2011 года. Эта уязвимость позволяет манипулировать HTTP-заголовками для обхода аутентификации в WEB-приложениях SAP. Таким образом, например, при посылке запроса HEAD вместо GET на интерфейс одного недокументированного приложения можно выполнять практически любые действия в системе. Уязвимость давала атакующему возможность создать учетную запись с административными привилегиями, что могло быть использовано злоумышленником в дальнейшем для получения любых критичных данных и полного контроля над системой.
Все перечисленные уязвимости, а также многие другие были обнаружены исследовательской лабораторией Digital Security (Digital Security Research Group), одно из подразделений которой постоянно ведет работу по поиску уязвимостей в программных продуктах SAP. Лаборатория множество раз упомянута в разделе благодарностей компании SAP как ведущий партнер в мире по поиску и закрытию уязвимостей. Для того чтобы защитить свою ERP-систему, рекомендуется регулярно устанавливать обновления безопасности SAP, а также воспользоваться системой мониторинга безопасности SAP ERP Scan Security Scanner for SAP, разработанной Digital Security и содержащей более 6000 уникальных проверок на различные проблемы безопасности.
