SAP E-Recruiting

Продукт
Разработчики: SAP SE
Технологии: HRM

Решение для управления человеческим капиталом компании и оптимизации процедур набора персонала на базе SAP E-Recruiting. Это решение позволяет разработать комплексную систему взаимодействия с наиболее перспективными и талантливыми специалистами, обеспечить подбор персонала внутри компании, планирование карьерного роста и преемственность.

2017: Обнаружение уязвимости

В сентябре 2017 года в системе подбора персонала SAP E-Recruiting обнаружили уязвимость, которая позволяет злоумышленникам вмешиваться в процесс найма соискателей самым негативным образом. Уязвимость довольно просто эксплуатировать, и это делает ее еще опаснее.

Как выяснили эксперты компании SEC Consult, при регистрации нового соискателя в корпоративном приложении SAP E-Recruiting, ему или ей на электронную почту поступает ссылка с просьбой подтвердить у соискателя доступ к указанному почтовому ящику. Однако эту процедуру можно обойти.

Уязвимость рекрутинговой системы SAP позволяла блокировать набор сотрудников
«
Злоумышленники имеют возможность зарегистрировать и сымитировать подтверждение электронных адресов, к которым они не имеют доступа, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Для этого достаточно совершить несколько простых действий. Вдобавок, из-за того, что SAP E-Recruiting предусматривает лишь однократную регистрацию одного и того же почтового адреса, злоумышленники могут заблокировать подачу заявки от конкретного соискателя в принципе, если только он не воспользуется альтернативным адресом.
»

Согласно описанию экспертов SEC Consult ([1]), в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в котором закодированы два ключевых параметра - candidate_hrobject и corr_act_guid. Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций 3.4 т

Параметр candidate_hrobject представляет собой уникальный номерной идентификатор пользователя. Каждому следующему соискателю присваивается величина, на единицу большая.

В свою очередь, параметр corr_act_guid - это произвольная величина, используемая при подтверждении конкретного почтового адреса. Однако у этой величины отсутствует привязка к каждому конкретному событию (то есть, подачи заявки).

Как следствие, эту величину можно использовать несколько раз. А значение candidate_hrobject злоумышленник может легко угадать. Последовательность действий при атаке выглядит следующим образом. Злоумышленник регистрирует заявку соискателя от своего имени, используя свой почтовый адрес. Сразу после этого он может попытаться зарегистрировать адрес потенциальной жертвы. Затем, считав величину candidate_hrobject из ссылки в письме на подтверждение первого адреса, и увеличив ее на единицу, он может снова отправить в систему письмо с подтверждением, внедрив в запрос HTTP GET прежнее значение corr_act_guid и увеличенное значение candidate_hrobject. В этом случае почтовый адрес потенциальной жертвы считается подтвержденным, и его реальный обладатель уже не сможет работать с системой, используя тот же адрес.

Именно отсутствие «привязки» - уникального одноразового идентификатора - в ссылке на подтверждение адреса и делает атаку возможной. Стоит отметить, что указанные параметры в ссылке закодированы (с использованием base64), но декодировать их не составляет особого труда.

Уязвимость была впервые выявлена в июле этого года в версии 617. SAP подтвердила наличие аналогичных уязвимостей в еще трех версиях: 605, 606 и 616. Патч опубликован 12 сентября 2017 год

Примечания



ПРОЕКТЫ (8) ИНТЕГРАТОРЫ (4) СМ. ТАКЖЕ (12)
ОТРАСЛИ (5)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Directum (Директум) (614)
  Первый Бит (374)
  Компас (287)
  1С-Архитектор бизнеса (1АБ Мастер) (211)
  Корпорация Галактика (203)
  Другие (2851)

  Directum (Директум) (110)
  Танаис (Tanais) (9)
  Docsvision (ДоксВижн) (8)
  Softline (Софтлайн) (8)
  HRlink (Инновации в управлении кадрами) (8)
  Другие (182)

  Directum (Директум) (80)
  Гарант-Чебоксары (19)
  Танаис (Tanais) (12)
  HRlink (Инновации в управлении кадрами) (12)
  Docsvision (ДоксВижн) (11)
  Другие (239)

  Directum (Директум) (86)
  HRlink (Инновации в управлении кадрами) (11)
  Корус Консалтинг (9)
  Топ Софт (7)
  SteadyControl (6)
  Другие (141)

  Directum (Директум) (117)
  HRlink (Инновации в управлении кадрами) (9)
  SteadyControl (5)
  Первый Бит (5)
  Softline (Софтлайн) (4)
  Другие (53)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С Акционерное общество (24, 1182)
  Directum (Директум) (3, 997)
  Компас (1, 364)
  Корпорация Галактика (2, 345)
  SAP SE (30, 301)
  Другие (428, 1662)

  Directum (Директум) (1, 233)
  Docsvision (ДоксВижн) (1, 19)
  1С Акционерное общество (7, 16)
  SAP SE (4, 9)
  HRlink (Инновации в управлении кадрами) (1, 8)
  Другие (27, 44)

  Directum (Директум) (1, 236)
  Docsvision (ДоксВижн) (1, 40)
  1С Акционерное общество (6, 25)
  HRlink (Инновации в управлении кадрами) (1, 12)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 8)
  Другие (27, 58)

  Directum (Директум) (2, 150)
  1С Акционерное общество (6, 21)
  HRlink (Инновации в управлении кадрами) (1, 11)
  Docsvision (ДоксВижн) (1, 8)
  Корус Консалтинг (1, 8)
  Другие (27, 66)

  Directum (Директум) (2, 125)
  1С Акционерное общество (6, 19)
  HRlink (Инновации в управлении кадрами) (1, 10)
  Поток (ранее TalentTech) (2, 5)
  TalentTech (Севергрупп ТТ) (2, 5)
  Другие (28, 45)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Directum RX - 987
  1С:Зарплата и управление персоналом 8 - 883
  Компас: Управление персоналом - 364
  Галактика ERP: Контур управления персоналом - 345
  БОСС-Кадровик - 205
  Другие 1699

  Directum RX - 233
  Docsvision: Кадровый электронный документооборот (КЭДО) - 19
  HRlink Система электронного кадрового документооборота - 8
  Websoft HCM (ранее WebTutor) - 6
  1С:Зарплата и управление персоналом 8 КОРП - 5
  Другие 48

  Directum RX - 236
  Docsvision: Кадровый электронный документооборот (КЭДО) - 40
  HRlink Система электронного кадрового документооборота - 12
  1С:Зарплата и управление персоналом 8 - 8
  1С:Зарплата и управление персоналом 8 КОРП - 7
  Другие 65

  Directum RX - 147
  HRlink Система электронного кадрового документооборота - 11
  1С:Зарплата и управление персоналом 8 КОРП - 11
  Docsvision: Кадровый электронный документооборот (КЭДО) - 8
  Корус Консалтинг: K-Team - 8
  Другие 65

  Directum RX - 119
  HRlink Система электронного кадрового документооборота - 10
  1С:Зарплата и управление персоналом 8 КОРП - 8
  Directum HR Pro - 6
  1С:Зарплата и управление персоналом 8 - 6
  Другие 41