| Разработчики: | SAP SE |
| Технологии: | HRM |
Решение для управления человеческим капиталом компании и оптимизации процедур набора персонала на базе SAP E-Recruiting. Это решение позволяет разработать комплексную систему взаимодействия с наиболее перспективными и талантливыми специалистами, обеспечить подбор персонала внутри компании, планирование карьерного роста и преемственность.
2017: Обнаружение уязвимости
В сентябре 2017 года в системе подбора персонала SAP E-Recruiting обнаружили уязвимость, которая позволяет злоумышленникам вмешиваться в процесс найма соискателей самым негативным образом. Уязвимость довольно просто эксплуатировать, и это делает ее еще опаснее.
Как выяснили эксперты компании SEC Consult, при регистрации нового соискателя в корпоративном приложении SAP E-Recruiting, ему или ей на электронную почту поступает ссылка с просьбой подтвердить у соискателя доступ к указанному почтовому ящику. Однако эту процедуру можно обойти.
 | Злоумышленники имеют возможность зарегистрировать и сымитировать подтверждение электронных адресов, к которым они не имеют доступа, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Для этого достаточно совершить несколько простых действий. Вдобавок, из-за того, что SAP E-Recruiting предусматривает лишь однократную регистрацию одного и того же почтового адреса, злоумышленники могут заблокировать подачу заявки от конкретного соискателя в принципе, если только он не воспользуется альтернативным адресом. |  |
Согласно описанию экспертов SEC Consult ([1]), в письме о подтверждении адреса содержится ссылка с параметром HTTP GET, в котором закодированы два ключевых параметра - candidate_hrobject и corr_act_guid. Российский рынок WMS-систем: оценки, тренды и крупнейшие поставщики. Обзор TAdviser 
Параметр candidate_hrobject представляет собой уникальный номерной идентификатор пользователя. Каждому следующему соискателю присваивается величина, на единицу большая.
В свою очередь, параметр corr_act_guid - это произвольная величина, используемая при подтверждении конкретного почтового адреса. Однако у этой величины отсутствует привязка к каждому конкретному событию (то есть, подачи заявки).
Как следствие, эту величину можно использовать несколько раз. А значение candidate_hrobject злоумышленник может легко угадать. Последовательность действий при атаке выглядит следующим образом. Злоумышленник регистрирует заявку соискателя от своего имени, используя свой почтовый адрес. Сразу после этого он может попытаться зарегистрировать адрес потенциальной жертвы. Затем, считав величину candidate_hrobject из ссылки в письме на подтверждение первого адреса, и увеличив ее на единицу, он может снова отправить в систему письмо с подтверждением, внедрив в запрос HTTP GET прежнее значение corr_act_guid и увеличенное значение candidate_hrobject. В этом случае почтовый адрес потенциальной жертвы считается подтвержденным, и его реальный обладатель уже не сможет работать с системой, используя тот же адрес.
Именно отсутствие «привязки» - уникального одноразового идентификатора - в ссылке на подтверждение адреса и делает атаку возможной. Стоит отметить, что указанные параметры в ссылке закодированы (с использованием base64), но декодировать их не составляет особого труда.
Уязвимость была впервые выявлена в июле этого года в версии 617. SAP подтвердила наличие аналогичных уязвимостей в еще трех версиях: 605, 606 и 616. Патч опубликован 12 сентября 2017 год
Примечания
| Заказчик | Интегратор | Год | Проект |
|---|---|---|---|
| - Сахалинская энергия (Sakhalin Energy) | ЭВОЛА | 2015.09 |  |
| - М.Видео-Эльдорадо | ЭВОЛА | 2014.09 | |
| - Газпром нефть | ЭВОЛА | 2013.09 | |
| - Уралсиб ФК | ЭВОЛА | 2013.02 | |
| - Самрук-Казына (Samruk) | ЭВОЛА | 2012.02 | |
| - Россети Центр (МРСК Центра) | Айтеко (Ай-Теко, iTeco) | 2011.12 | |
| - Евросеть | Без привлечения консультанта или нет данных | 2011.12 | |
| - М.Видео-Эльдорадо | Ciber (Сайбер) | 2010.07 | |
Подрядчики-лидеры по количеству проектов
Первый Бит (380) Компас (286) 1С-Архитектор бизнеса (1АБ Мастер) (211) Корпорация Галактика (201) БОСС. Кадровые системы (142) Другие (2452) HRlink (Инновации в управлении кадрами) (11) Корус Консалтинг (9) SteadyControl (6) TalentTech (Севергрупп ТТ) (5) Аргус НТЦ (4) Другие (76) HRlink (Инновации в управлении кадрами) (10) Первый Бит (7) WebSoft (ВебСофт Девелопмент) (6) Directum (Директум) (6) SteadyControl (5) Другие (65)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (24, 1219) Компас (1, 363) Корпорация Галактика (2, 346) SAP SE (30, 301) SL Soft (СЛ Софт) (4, 206) Другие (468, 1556) 1С Акционерное общество (6, 22) HRlink (Инновации в управлении кадрами) (1, 11) Docsvision (ДоксВижн) (1, 8) Корус Консалтинг (1, 8) SteadyControl HoReCa (1, 7) Другие (27, 62) 1С Акционерное общество (7, 27) HRlink (Инновации в управлении кадрами) (1, 12) WebSoft (ВебСофт Девелопмент) (1, 6) Directum (Директум) (1, 6) Поток (ранее TalentTech) (2, 5) Другие (35, 60) 1С Акционерное общество (5, 23) Directum (Директум) (1, 11) HRlink (Инновации в управлении кадрами) (2, 10) Корус Консалтинг (1, 8) Перспективный мониторинг (АО ПМ) (1, 4) Другие (22, 31)Распределение систем по количеству проектов, не включая партнерские решения
1С:Зарплата и управление персоналом 8 - 892 Компас: Управление персоналом - 363 Галактика ERP: Контур управления персоналом - 346 БОСС-Кадровик - 205 Docsvision: Кадровый электронный документооборот (КЭДО) - 186 Другие 1624 1С:Зарплата и управление персоналом 8 КОРП - 11 HRlink Система электронного кадрового документооборота - 11 Docsvision: Кадровый электронный документооборот (КЭДО) - 8 Корус Консалтинг: K-Team - 8 SteadyControl Система контроля и управления персоналом - 7 Другие 59 1С:Зарплата и управление персоналом 8 КОРП - 13 HRlink Система электронного кадрового документооборота - 12 1С:Зарплата и управление персоналом 8 - 7 Websoft HCM (ранее WebTutor) - 6 Directum HR Pro - 6 Другие 51 
