Разработчики: | SAP SE |
Технологии: | HRM |
Решение для управления человеческим капиталом компании и оптимизации процедур набора персонала на базе SAP E-Recruiting. Это решение позволяет разработать комплексную систему взаимодействия с наиболее перспективными и талантливыми специалистами, обеспечить подбор персонала внутри компании, планирование карьерного роста и преемственность.
2017: Обнаружение уязвимости
В сентябре 2017 года в системе подбора персонала SAP E-Recruiting обнаружили уязвимость, которая позволяет злоумышленникам вмешиваться в процесс найма соискателей самым негативным образом. Уязвимость довольно просто эксплуатировать, и это делает ее еще опаснее.
Как выяснили эксперты компании SEC Consult, при регистрации нового соискателя в корпоративном приложении SAP E-Recruiting, ему или ей на электронную почту поступает ссылка с просьбой подтвердить у соискателя доступ к указанному почтовому ящику. Однако эту процедуру можно обойти.
Злоумышленники имеют возможность зарегистрировать и сымитировать подтверждение электронных адресов, к которым они не имеют доступа, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Для этого достаточно совершить несколько простых действий. Вдобавок, из-за того, что SAP E-Recruiting предусматривает лишь однократную регистрацию одного и того же почтового адреса, злоумышленники могут заблокировать подачу заявки от конкретного соискателя в принципе, если только он не воспользуется альтернативным адресом. |
Согласно описанию экспертов SEC Consult ([1]), в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в котором закодированы два ключевых параметра - candidate_hrobject и corr_act_guid. Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Параметр candidate_hrobject представляет собой уникальный номерной идентификатор пользователя. Каждому следующему соискателю присваивается величина, на единицу большая.
В свою очередь, параметр corr_act_guid - это произвольная величина, используемая при подтверждении конкретного почтового адреса. Однако у этой величины отсутствует привязка к каждому конкретному событию (то есть, подачи заявки).
Как следствие, эту величину можно использовать несколько раз. А значение candidate_hrobject злоумышленник может легко угадать. Последовательность действий при атаке выглядит следующим образом. Злоумышленник регистрирует заявку соискателя от своего имени, используя свой почтовый адрес. Сразу после этого он может попытаться зарегистрировать адрес потенциальной жертвы. Затем, считав величину candidate_hrobject из ссылки в письме на подтверждение первого адреса, и увеличив ее на единицу, он может снова отправить в систему письмо с подтверждением, внедрив в запрос HTTP GET прежнее значение corr_act_guid и увеличенное значение candidate_hrobject. В этом случае почтовый адрес потенциальной жертвы считается подтвержденным, и его реальный обладатель уже не сможет работать с системой, используя тот же адрес.
Именно отсутствие «привязки» - уникального одноразового идентификатора - в ссылке на подтверждение адреса и делает атаку возможной. Стоит отметить, что указанные параметры в ссылке закодированы (с использованием base64), но декодировать их не составляет особого труда.
Уязвимость была впервые выявлена в июле этого года в версии 617. SAP подтвердила наличие аналогичных уязвимостей в еще трех версиях: 605, 606 и 616. Патч опубликован 12 сентября 2017 год
Примечания
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Сахалинская энергия (Sakhalin Energy) | ЭВОЛА | 2015.09 | |
- М.Видео-Эльдорадо | ЭВОЛА | 2014.09 | |
- Газпром нефть | ЭВОЛА | 2013.09 | |
- Уралсиб ФК | ЭВОЛА | 2013.02 | |
- Самрук-Казына (Samruk) | ЭВОЛА | 2012.02 | |
- Евросеть | Без привлечения консультанта или нет данных | 2011.12 | |
- Россети Центр (МРСК Центра) | Айтеко (Ай-Теко, iTeco) | 2011.12 | |
- М.Видео-Эльдорадо | Ciber (Сайбер) | 2010.07 |
Подрядчики-лидеры по количеству проектов
Directum (Директум) (614)
Первый Бит (374)
Компас (287)
1С-Архитектор бизнеса (1АБ Мастер) (211)
Корпорация Галактика (203)
Другие (2848)
Directum (Директум) (110)
Танаис (Tanais) (9)
Docsvision (ДоксВижн) (8)
Softline (Софтлайн) (8)
HRlink (Инновации в управлении кадрами) (8)
Другие (182)
Directum (Директум) (80)
Гарант-Чебоксары (19)
Танаис (Tanais) (12)
HRlink (Инновации в управлении кадрами) (12)
Docsvision (ДоксВижн) (11)
Другие (239)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (24, 1182)
Directum (Директум) (3, 997)
Компас (1, 364)
Корпорация Галактика (2, 345)
SAP SE (30, 301)
Другие (424, 1657)
Directum (Директум) (1, 233)
Docsvision (ДоксВижн) (1, 19)
1С Акционерное общество (7, 16)
SAP SE (4, 9)
HRlink (Инновации в управлении кадрами) (1, 8)
Другие (27, 44)
Directum (Директум) (1, 236)
Docsvision (ДоксВижн) (1, 40)
1С Акционерное общество (6, 25)
HRlink (Инновации в управлении кадрами) (1, 12)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 8)
Другие (27, 58)
Directum (Директум) (2, 150)
1С Акционерное общество (6, 21)
HRlink (Инновации в управлении кадрами) (1, 11)
Docsvision (ДоксВижн) (1, 8)
Корус Консалтинг (1, 8)
Другие (27, 66)
Directum (Директум) (2, 125)
1С Акционерное общество (6, 19)
HRlink (Инновации в управлении кадрами) (1, 9)
Поток (ранее TalentTech) (2, 5)
TalentTech (Севергрупп ТТ) (2, 5)
Другие (26, 42)
Распределение систем по количеству проектов, не включая партнерские решения
Directum RX - 987
1С:Зарплата и управление персоналом 8 - 883
Компас: Управление персоналом - 364
Галактика ERP: Контур управления персоналом - 345
БОСС-Кадровик - 205
Другие 1696
Directum RX - 233
Docsvision: Кадровый электронный документооборот (КЭДО) - 19
HRlink Система электронного кадрового документооборота - 8
Websoft HCM (ранее WebTutor) - 6
SAP SuccessFactors HCM - 5
Другие 48
Directum RX - 236
Docsvision: Кадровый электронный документооборот (КЭДО) - 40
HRlink Система электронного кадрового документооборота - 12
1С:Зарплата и управление персоналом 8 - 8
ELMA365 КЭДО - 7
Другие 65