Хакеры научились лишать людей работы, взломав SAP

Безопасность Бизнес
мобильная версия
, Текст: Роман Георгиев

В рекрутинговой системе SAP E-Recruiting обнаружена неприятная уязвимость, которая позволяет блокировать процесс подачи заявок от соискателей на работу. Эксплуатировать эту уязвимость чрезвычайно просто, что делает ее еще опаснее.


Баг как фактор найма

Эксперты фирмы SEC Consult обнаружили весьма досадную уязвимость в системе рекрутинга SAP E-Recruiting, которая позволяет злоумышленникам вмешиваться в процесс найма и блокировать подачу заявок соискателями.

Обычно, когда соискатель регистрируется в корпоративном приложении E-Recruiting, ему приходит ссылка на электронную почту с просьбой подтвердить доступ к почтовому ящику. Однако эту процедуру можно обойти, поскольку злоумышленники вполне могут зарегистрировать и «подтвердить» электронные адреса, к которым у них доступа нет.

То есть, злоумышленник может зарегистрировать почтовый адрес, который ему не принадлежит, что может иметь существенные последствия для бизнеса — деловые процессы во многом зависят от достоверности информации о почтовых адресах.

Уязвимость в SAP E-Recruiting позволяет хакерам ломать карьеры

Более того, поскольку почтовый адрес может быть зарегистрирован только один раз, злоумышленник может воспрепятствовать регистрации легитимных соискателей в E-Recruiting.

Уязвимость затрагивает версии 605, 606, 616 и 617. Она была выявлена в июле 2017 г. В SAP довольно оперативно откликнулись и подтвердили проблему. Патч и бюллетень безопасности были выпущены одновременно 12 сентября.

Неуникальная величина

Согласно описанию экспертов SEC Consult, в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в которой с помощью Base64 закодированы параметры «candidate_hrobject» и «corr_act_guid». Первый из них представляет собой идентификатор пользователя, задаваемый в приращениях; второй — это произвольная величина, используемая при подтверждении почтового адреса. Однако эта величина не привязана к конкретной заявке, а значит, можно повторно использовать величину из какой-либо предыдущей регистрации пользователя. А поскольку значение «candidate_hrobject» поступательно увеличивается, злоумышленник может эту величину угадать.

Злоумышленник, который хочет зарегистрировать почтовый адрес, не принадлежащий ему, может сделать следующие шаги: зарегистрироваться с собственным почтовым адресом; сразу после этого зарегистрировать чужой адрес; считать величину «candidate_hrobject» из ссылки, полученной при своей регистрации; увеличить это значение на единицу; внедрить в запрос HTTP GET в письме о подтверждении второго адреса эту величину и добавить туда же параметр «corr_act_guid» из письма на подтверждение своего исходного адреса (тогда адрес жертвы будет считаться подтвержденным, и она потеряет возможность работы с рекрутинговой системой). Если это не сработает, можно попытаться еще увеличить значения «candidate_hrobject» — в системе могли успеть зарегистрироваться и подтвердить свои адреса другие люди.

«Эта атака возможна потому, что в ссылке на подтверждение отсутствует уникальный одноразовый идентификатор, — говорит Георгий Лагода, генеральный директор SEC Consult Services. — Простота эксплуатации делает эту уязвимость довольно опасной как для соискателей, так и для бизнеса. Соискатели могут пострадать особенно сильно — ничто не помешает злоумышленникам начать "регистрировать" одного и того же соискателя во множестве компаний, использующих для рекрутинга разработку SAP. Кроме, естественно, вовремя установленного патча».