У рекрутингової системі SAP E-Recruiting виявлена ??неприємна вразливість, яка дозволяє блокувати процес подачі заявок від претендентів на роботу. Експлуатувати цю уразливість надзвичайно просто, що робить її ще небезпечніше.

Баг як фактор найму.

Експерти фірми SEC Consult виявили вельми прикру вразливість в системі рекрутингу SAP E-Recruiting, яка дозволяє зловмисникам втручатися в процес найму і блокувати подачу заявок претендентами.

Зазвичай, коли здобувач реєструється в корпоративному додатку E-Recruiting, йому приходить посилання на електронну пошту з проханням підтвердити доступ до поштової скриньки. Однак цю процедуру можна обійти, оскільки зловмисники цілком можуть зареєструвати і «підтвердити» електронні адреси, до яких у них доступу немає.

Тобто, зловмисник може зареєструвати поштову адресу, який йому не належить, що може мати істотні наслідки для бізнесу - ділові процеси багато в чому залежать від достовірності інформації про поштові адреси.

Більш того, оскільки поштова адреса може бути зареєстрований тільки один раз, зловмисник може перешкодити реєстрації легітимних претендентів в E-Recruiting.

Уразливість зачіпає версії 605, 606, 616 і 617. Вона була виявлена ??в липні 2017 р. У SAP досить оперативно відгукнулися і підтвердили проблему. Патч і бюлетень безпеки були випущені одночасно 12 вересня.

Неунікальна величина.

Відповідно до опису експертів SEC Consult, в листі про підтвердження адреси міститься посилання з параметром HTTP GET, в якій за допомогою Base64 закодовані параметри «candidate_hrobject» і «corr_act_guid». Перший з них являє собою ідентифікатор користувача, що задається в збільшеннях; другий - це довільна величина, яка використовується при підтвердженні поштової адреси. Однак ця величина не прив'язана до конкретної заявці, а значить, можна повторно використовувати величину з будь-якої попередньої реєстрації користувача. А оскільки значення «candidate_hrobject» поступально збільшується, зловмисник може цю величину вгадати.

Зловмисник, який хоче зареєструвати поштову адресу, що не належить йому, може зробити наступні кроки: зареєструватися з власним поштовою адресою; відразу після цього зареєструвати чужий адреса; вважати величину «candidate_hrobject» із заслання, отриманої при своїй реєстрації; збільшити це значення на одиницю; впровадити в запит HTTP GET в листі про підтвердження другого адреси цю величину і додати туди ж параметр «corr_act_guid» з листа на підтвердження свого вихідного адреси (тоді адресу жертви буде вважатися підтвердженим, і вона втратить можливість роботи з рекрутингової системою). Якщо це не спрацює, можна спробувати ще збільшити значення «candidate_hrobject» - в системі могли встигнути зареєструватися і підтвердити свої адреси інші люди.

«Ця атака можлива тому, що на засланні на підтвердження відсутній унікальний одноразовий ідентифікатор, - каже Георгій Лагода, генеральний директор SEC Consult Services. - Простота експлуатації робить цю уразливість досить небезпечною як для претендентів, так і для бізнесу. Здобувачі можуть постраждати особливо сильно - ніщо не завадить зловмисникам почати "реєструвати" одного і того ж кандидата в безлічі компаній, що використовують для рекрутингу розробку SAP. Крім, звичайно, вчасно встановленого патча ».