Эксперты фирмы SEC Consult обнаружили весьма досадную уязвимость в системе рекрутинга SAP E-Recruiting, которая позволяет злоумышленникам вмешиваться в процесс найма и блокировать подачу заявок соискателями, информирует Хроника.инфо со ссылкой на internetua.
Обычно, когда соискатель регистрируется в корпоративном приложении E-Recruiting, ему приходит ссылка на электронную почту с просьбой подтвердить доступ к почтовому ящику. Однако эту процедуру можно обойти, поскольку злоумышленники вполне могут зарегистрировать и «подтвердить» электронные адреса, к которым у них доступа нет.
То есть, злоумышленник может зарегистрировать почтовый адрес, который ему не принадлежит, что может иметь существенные последствия для бизнеса — деловые процессы во многом зависят от достоверности информации о почтовых адресах.
Более того, поскольку почтовый адрес может быть зарегистрирован только один раз, злоумышленник может воспрепятствовать регистрации легитимных соискателей в E-Recruiting.
Уязвимость затрагивает версии 605, 606, 616 и 617. Она была выявлена в июле 2017 г. В SAP довольно оперативно откликнулись и подтвердили проблему. Патч и бюллетень безопасности были выпущены одновременно 12 сентября.
Неуникальная величина
Согласно описанию экспертов SEC Consult, в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в которой с помощью Base64 закодированы параметры «candidate_hrobject» и «corr_act_guid». Первый из них представляет собой идентификатор пользователя, задаваемый в приращениях; второй — это произвольная величина, используемая при подтверждении почтового адреса. Однако эта величина не привязана к конкретной заявке, а значит, можно повторно использовать величину из какой-либо предыдущей регистрации пользователя. А поскольку значение «candidate_hrobject» поступательно увеличивается, злоумышленник может эту величину угадать.
Злоумышленник, который хочет зарегистрировать почтовый адрес, не принадлежащий ему, может сделать следующие шаги: зарегистрироваться с собственным почтовым адресом; сразу после этого зарегистрировать чужой адрес; считать величину «candidate_hrobject» из ссылки, полученной при своей регистрации; увеличить это значение на единицу; внедрить в запрос HTTP GET в письме о подтверждении второго адреса эту величину и добавить туда же параметр «corr_act_guid» из письма на подтверждение своего исходного адреса (тогда адрес жертвы будет считаться подтвержденным, и она потеряет возможность работы с рекрутинговой системой). Если это не сработает, можно попытаться еще увеличить значения «candidate_hrobject» — в системе могли успеть зарегистрироваться и подтвердить свои адреса другие люди.
Читайте также: Будут ли лишать гражданства за сепаратизм?
«Эта атака возможна потому, что в ссылке на подтверждение отсутствует уникальный одноразовый идентификатор, — говорит Георгий Лагода, генеральный директор SEC Consult Services. — Простота эксплуатации делает эту уязвимость довольно опасной как для соискателей, так и для бизнеса. Соискатели могут пострадать особенно сильно — ничто не помешает злоумышленникам начать «регистрировать» одного и того же соискателя во множестве компаний, использующих для рекрутинга разработку SAP. Кроме, естественно, вовремя установленного патча».