| Разработчики: | SAP SE |
| Технологии: | HRM |
Решение для управления человеческим капиталом компании и оптимизации процедур набора персонала на базе SAP E-Recruiting. Это решение позволяет разработать комплексную систему взаимодействия с наиболее перспективными и талантливыми специалистами, обеспечить подбор персонала внутри компании, планирование карьерного роста и преемственность.
2017: Обнаружение уязвимости
В сентябре 2017 года в системе подбора персонала SAP E-Recruiting обнаружили уязвимость, которая позволяет злоумышленникам вмешиваться в процесс найма соискателей самым негативным образом. Уязвимость довольно просто эксплуатировать, и это делает ее еще опаснее.
Как выяснили эксперты компании SEC Consult, при регистрации нового соискателя в корпоративном приложении SAP E-Recruiting, ему или ей на электронную почту поступает ссылка с просьбой подтвердить у соискателя доступ к указанному почтовому ящику. Однако эту процедуру можно обойти.
 | Злоумышленники имеют возможность зарегистрировать и сымитировать подтверждение электронных адресов, к которым они не имеют доступа, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Для этого достаточно совершить несколько простых действий. Вдобавок, из-за того, что SAP E-Recruiting предусматривает лишь однократную регистрацию одного и того же почтового адреса, злоумышленники могут заблокировать подачу заявки от конкретного соискателя в принципе, если только он не воспользуется альтернативным адресом. |  |
Согласно описанию экспертов SEC Consult ([1]), в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в котором закодированы два ключевых параметра - candidate_hrobject и corr_act_guid. Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 
Параметр candidate_hrobject представляет собой уникальный номерной идентификатор пользователя. Каждому следующему соискателю присваивается величина, на единицу большая.
В свою очередь, параметр corr_act_guid - это произвольная величина, используемая при подтверждении конкретного почтового адреса. Однако у этой величины отсутствует привязка к каждому конкретному событию (то есть, подачи заявки).
Как следствие, эту величину можно использовать несколько раз. А значение candidate_hrobject злоумышленник может легко угадать. Последовательность действий при атаке выглядит следующим образом. Злоумышленник регистрирует заявку соискателя от своего имени, используя свой почтовый адрес. Сразу после этого он может попытаться зарегистрировать адрес потенциальной жертвы. Затем, считав величину candidate_hrobject из ссылки в письме на подтверждение первого адреса, и увеличив ее на единицу, он может снова отправить в систему письмо с подтверждением, внедрив в запрос HTTP GET прежнее значение corr_act_guid и увеличенное значение candidate_hrobject. В этом случае почтовый адрес потенциальной жертвы считается подтвержденным, и его реальный обладатель уже не сможет работать с системой, используя тот же адрес.
Именно отсутствие «привязки» - уникального одноразового идентификатора - в ссылке на подтверждение адреса и делает атаку возможной. Стоит отметить, что указанные параметры в ссылке закодированы (с использованием base64), но декодировать их не составляет особого труда.
Уязвимость была впервые выявлена в июле этого года в версии 617. SAP подтвердила наличие аналогичных уязвимостей в еще трех версиях: 605, 606 и 616. Патч опубликован 12 сентября 2017 год
Примечания
| Заказчик | Интегратор | Год | Проект |
|---|---|---|---|
| - Сахалинская энергия (Sakhalin Energy) | ЭВОЛА | 2015.09 |  |
| - М.Видео-Эльдорадо | ЭВОЛА | 2014.09 | |
| - Газпром нефть | ЭВОЛА | 2013.09 | |
| - Уралсиб ФК | ЭВОЛА | 2013.02 | |
| - Самрук-Казына (Samruk) | ЭВОЛА | 2012.02 | |
| - Евросеть | Без привлечения консультанта или нет данных | 2011.12 | |
| - Россети Центр (МРСК Центра) | Айтеко (Ай-Теко, iTeco) | 2011.12 | |
| - М.Видео-Эльдорадо | Ciber (Сайбер) | 2010.07 | |
Подрядчики-лидеры по количеству проектов
Directum (Директум) (495) Первый Бит (370) Компас (287) 1С-Архитектор бизнеса (1АБ Мастер) (211) Корпорация Галактика (203) Другие (2767) Directum (Директум) (110) Танаис (Tanais) (9) Softline (Софтлайн) (8) Docsvision (ДоксВижн) (8) HRlink (Инновации в управлении кадрами) (8) Другие (184) Directum (Директум) (81) Гарант-Чебоксары (19) Танаис (Tanais) (12) HRlink (Инновации в управлении кадрами) (12) Softline (Софтлайн) (11) Другие (229)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (24, 1166) Directum (Директум) (3, 871) Компас (1, 364) Корпорация Галактика (2, 345) SAP SE (30, 301) Другие (399, 1550) Directum (Директум) (1, 233) Docsvision (ДоксВижн) (1, 19) 1С Акционерное общество (7, 16) SAP SE (4, 9) HRlink (Инновации в управлении кадрами) (1, 8) Другие (26, 43) Directum (Директум) (1, 238) Docsvision (ДоксВижн) (1, 40) 1С Акционерное общество (6, 25) HRlink (Инновации в управлении кадрами) (1, 12) Сберкорус (ранее Корус Консалтинг СНГ) (2, 6) Другие (24, 41) Directum (Директум) (2, 148) 1С Акционерное общество (6, 20) HRlink (Инновации в управлении кадрами) (1, 11) Корус Консалтинг (1, 9) Docsvision (ДоксВижн) (1, 8) Другие (23, 47) 1С Акционерное общество (2, 3) HRlink (Инновации в управлении кадрами) (1, 3) TalentTech (Севергрупп ТТ) (2, 2) Directum (Директум) (2, 2) Voca-Tech (Вока-Тек) (1, 1) Другие (13, 13)Распределение систем по количеству проектов, не включая партнерские решения
1С:Зарплата и управление персоналом 8 - 877 Directum RX - 868 Компас: Управление персоналом - 364 Галактика ERP: Контур управления персоналом - 345 БОСС-Кадровик - 199 Другие 1629 Directum RX - 233 Docsvision: Кадровый электронный документооборот (КЭДО) - 19 HRlink Система электронного кадрового документооборота - 8 Websoft HCM (ранее WebTutor) - 6 SAP SuccessFactors HCM - 5 Другие 48 Directum RX - 238 Docsvision: Кадровый электронный документооборот (КЭДО) - 40 HRlink Система электронного кадрового документооборота - 12 1С:Зарплата и управление персоналом 8 - 8 1С:Зарплата и управление персоналом 8 КОРП - 7 Другие 54 
