Nvidia отключила сайт клиентской поддержки из-за уязвимости в SAP NetWeaver

Производитель графических чипов Nvidia несколько часов назад отключил свой глобальный портал по поддержке пользователей, после сообщений о критических уязвимостях, найденных в нем.

Технически, уязвимости были найдены не в форуме, а в программном обеспечении SAP, которое используется на нем в качестве бэк-энда. Веб-сайт https://nvcare.nvidia.com использует для работы платформу SAP NetWeaver, которая является фреймбуфером для множества других приложений SAP.

Указанная уязвимость в netWeaver была закрыта самой SAP почти 3 года назад, но выясняется, что администраторы Nvidia до сих пор не установили соответствующий патч от SAP. Нашедший уязвимость представился как Finger, а географически он находится в Китае. Согласно отчету о баге, Finger уведомил Nvidia о проблеме еще 21 ноября, однако с тех пор от чипмейкера не последовало реакции и 5 января сведения о баге были распространены публично.

Вскоре после этого Nvidia отключила сайт техподдержки и заявила, что он возобновит работу после устранения проблемы. «На данный момент у нас нет сведений о компрометации пользовательских данных. Мы продолжаем разбираться в ситуации», — заявил Боб Шербин, представитель Nvidia.

Уязвимость позволяет неавторизованному пользователю получить полный контроль над SAP NetWeaver, а также к администраторской консоли, возможности исполнения команд и полному отключению системы, что особенно опасно, так как многие порталы SAP NetWeaver напрямую подключены к интернету.