E安全12月29日訊近期,據(jù)研究報(bào)告建議�,SAP用戶應(yīng)立即部署一個(gè)針對(duì)嚴(yán)重漏洞的新發(fā)布補(bǔ)丁�����,該漏洞可能允許黑客破壞其系統(tǒng)和其中包含的數(shù)據(jù)��。該漏洞存在于大多數(shù)SAP部署中默認(rèn)存在的核心組件中�����,無(wú)需用戶名和密碼即可進(jìn)行遠(yuǎn)程利用����。全公司Onapsis的研究人員發(fā)現(xiàn)并報(bào)告了這個(gè)漏洞��,他們估計(jì)全球有4萬(wàn)SAP客戶可能受到影響��。超過(guò)2500個(gè)易受攻擊的SAP系統(tǒng)直接暴露在internet上��,它們面臨被黑客攻擊的更高風(fēng)險(xiǎn)���,但是能夠訪問(wèn)本地網(wǎng)絡(luò)的攻擊者可能會(huì)危及其他部署�����。
該漏洞被追蹤為CVE-2020-6287����,位于SAP NetWeaver應(yīng)用服務(wù)器Java中,這是大多數(shù)SAP企業(yè)應(yīng)用程序的底層軟件堆棧���。NetWeaver Java的7.30到7.50版本受到影響——包括最新版本——以及SAP發(fā)布的所有支持包(SPs)��。
這個(gè)漏洞���,也被稱為RECON (NetWeaver上的遠(yuǎn)程可利用代碼),在常見漏洞評(píng)分系統(tǒng)(CVSS)中有最高的可能的嚴(yán)重等級(jí)(10)�,因?yàn)樗梢栽跊](méi)有身份驗(yàn)證的情況下通過(guò)HTTP被利用,并可以導(dǎo)致系統(tǒng)的完全妥協(xié)���。該漏洞允許攻擊者創(chuàng)建一個(gè)具有管理角色的新用戶���,繞過(guò)現(xiàn)有的訪問(wèn)控制和職責(zé)分離。
Onapsis在一份通知中警告說(shuō):“擁有對(duì)系統(tǒng)的管理權(quán)限將允許攻擊者管理(讀取/修改/刪除)系統(tǒng)中的每條數(shù)據(jù)庫(kù)記錄或文件�����! “由于攻擊者利用未修補(bǔ)的系統(tǒng)可以獲得不受限制的訪問(wèn)類型�����,這個(gè)漏洞也可能構(gòu)成企業(yè)IT控制的監(jiān)管要求的缺陷——潛在地影響財(cái)務(wù)(薩班斯-奧克斯利法案)和隱私(GDPR)遵從性��!
洞使組織容易受到各種類型的攻擊。黑客可以利用它竊取員工�����、客戶和供應(yīng)商的個(gè)人身份信息(PII)��;閱讀�、修改、刪除財(cái)務(wù)記錄�����;更改銀行細(xì)節(jié)以轉(zhuǎn)移付款和修改采購(gòu)流程�;腐敗的數(shù)據(jù);或中斷系統(tǒng)的運(yùn)行,由于業(yè)務(wù)停機(jī)造成財(cái)務(wù)損失��。該漏洞還允許攻擊者通過(guò)刪除日志和使用SAP應(yīng)用程序的特權(quán)在操作系統(tǒng)上執(zhí)行命令來(lái)隱藏他們的蹤跡����。
受影響的SAP應(yīng)用包括SAP S/4HANA Java、SAP企業(yè)資源規(guī)劃(ERP)、SAP供應(yīng)鏈管理(SCM)����、SAP CRM (Java Stack)、SAP企業(yè)門戶����、SAP人力資源門戶、SAP解決方案管理(SolMan) 7.2�、SAP景觀管理(SAP LaMa)、SAP流程集成/編排(SAP PI/PO)����、SAP供應(yīng)商關(guān)系。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
