SAP E-Recruiting

Продукт
Разработчики: SAP SE
Технологии: HRM

Решение для управления человеческим капиталом компании и оптимизации процедур набора персонала на базе SAP E-Recruiting. Это решение позволяет разработать комплексную систему взаимодействия с наиболее перспективными и талантливыми специалистами, обеспечить подбор персонала внутри компании, планирование карьерного роста и преемственность.

2017: Обнаружение уязвимости

В сентябре 2017 года в системе подбора персонала SAP E-Recruiting обнаружили уязвимость, которая позволяет злоумышленникам вмешиваться в процесс найма соискателей самым негативным образом. Уязвимость довольно просто эксплуатировать, и это делает ее еще опаснее.

Как выяснили эксперты компании SEC Consult, при регистрации нового соискателя в корпоративном приложении SAP E-Recruiting, ему или ей на электронную почту поступает ссылка с просьбой подтвердить у соискателя доступ к указанному почтовому ящику. Однако эту процедуру можно обойти.

Уязвимость рекрутинговой системы <!--LINK 0:4--> позволяла блокировать набор сотрудников
Уязвимость рекрутинговой системы SAP позволяла блокировать набор сотрудников
«
Злоумышленники имеют возможность зарегистрировать и сымитировать подтверждение электронных адресов, к которым они не имеют доступа, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Для этого достаточно совершить несколько простых действий. Вдобавок, из-за того, что SAP E-Recruiting предусматривает лишь однократную регистрацию одного и того же почтового адреса, злоумышленники могут заблокировать подачу заявки от конкретного соискателя в принципе, если только он не воспользуется альтернативным адресом.
»

Согласно описанию экспертов SEC Consult ([1]), в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в котором закодированы два ключевых параметра - candidate_hrobject и corr_act_guid.

Параметр candidate_hrobject представляет собой уникальный номерной идентификатор пользователя. Каждому следующему соискателю присваивается величина, на единицу большая.

В свою очередь, параметр corr_act_guid - это произвольная величина, используемая при подтверждении конкретного почтового адреса. Однако у этой величины отсутствует привязка к каждому конкретному событию (то есть, подачи заявки).

Как следствие, эту величину можно использовать несколько раз. А значение candidate_hrobject злоумышленник может легко угадать.

Последовательность действий при атаке выглядит следующим образом. Злоумышленник регистрирует заявку соискателя от своего имени, используя свой почтовый адрес. Сразу после этого он может попытаться зарегистрировать адрес потенциальной жертвы. Затем, считав величину candidate_hrobject из ссылки в письме на подтверждение первого адреса, и увеличив ее на единицу, он может снова отправить в систему письмо с подтверждением, внедрив в запрос HTTP GET прежнее значение corr_act_guid и увеличенное значение candidate_hrobject. В этом случае почтовый адрес потенциальной жертвы считается подтвержденным, и его реальный обладатель уже не сможет работать с системой, используя тот же адрес.

Именно отсутствие «привязки» - уникального одноразового идентификатора - в ссылке на подтверждение адреса и делает атаку возможной. Стоит отметить, что указанные параметры в ссылке закодированы (с использованием base64), но декодировать их не составляет особого труда.

Уязвимость была впервые выявлена в июле этого года в версии 617. SAP подтвердила наличие аналогичных уязвимостей в еще трех версиях: 605, 606 и 616. Патч опубликован 12 сентября 2017 год

Примечания



ПРОЕКТЫ (8) ИНТЕГРАТОРЫ (4) СМ. ТАКЖЕ (12)
ОТРАСЛИ (5)


Подрядчики-лидеры по количеству проектов

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

  1С Акционерное общество (28, 1034)
  Компас (1, 364)
  Корпорация Галактика (2, 344)
  SAP SE (27, 322)
  БОСС. Кадровые системы (3, 196)
  Другие (206, 662)

  SAP SE (4, 21)
  1С Акционерное общество (4, 13)
  WebSoft (ВебСофт Девелопмент) (1, 8)
  SuccessFactors (1, 3)
  Stafory (1, 3)
  Другие (4, 4)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год