安基网 首页 资讯 安全报 查看内容

致命漏洞使黑客轻易攻破SAP系统

2020-12-31 11:17| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: E安全12月29日讯近期,据研究报告建议,SAP用户应立即部署一个针对严重漏洞的新发布补丁,该漏洞可能允许黑客破坏其系统和其中包含的数据。该漏洞存在于大多数SAP部署中默认存在的核心组件中,无需用户名和密码即可 ...

E安全12月29日讯近期,据研究报告建议,SAP用户应立即部署一个针对严重漏洞的新发布补丁,该漏洞可能允许黑客破坏其系统和其中包含的数据。该漏洞存在于大多数SAP部署中默认存在的核心组件中,无需用户名和密码即可进行远程利用。全公司Onapsis的研究人员发现并报告了这个漏洞,他们估计全球有4万SAP客户可能受到影响。超过2500个易受攻击的SAP系统直接暴露在internet上,它们面临被黑客攻击的更高风险,但是能够访问本地网络的攻击者可能会危及其他部署。

该漏洞被追踪为CVE-2020-6287,位于SAP NetWeaver应用服务器Java中,这是大多数SAP企业应用程序的底层软件堆栈。NetWeaver Java的7.30到7.50版本受到影响——包括最新版本——以及SAP发布的所有支持包(SPs)。

这个漏洞,也被称为RECON (NetWeaver上的远程可利用代码),在常见漏洞评分系统(CVSS)中有最高的可能的严重等级(10),因为它可以在没有身份验证的情况下通过HTTP被利用,并可以导致系统的完全妥协。该漏洞允许攻击者创建一个具有管理角色的新用户,绕过现有的访问控制和职责分离。

Onapsis在一份通知中警告说:“拥有对系统的管理权限将允许攻击者管理(读取/修改/删除)系统中的每条数据库记录或文件。” “由于攻击者利用未修补的系统可以获得不受限制的访问类型,这个漏洞也可能构成企业IT控制的监管要求的缺陷——潜在地影响财务(萨班斯-奥克斯利法案)和隐私(GDPR)遵从性。”

洞使组织容易受到各种类型的攻击。黑客可以利用它窃取员工、客户和供应商的个人身份信息(PII);阅读、修改、删除财务记录;更改银行细节以转移付款和修改采购流程;腐败的数据;或中断系统的运行,由于业务停机造成财务损失。该漏洞还允许攻击者通过删除日志和使用SAP应用程序的特权在操作系统上执行命令来隐藏他们的踪迹。

受影响的SAP应用包括SAP S/4HANA Java、SAP企业资源规划(ERP)、SAP供应链管理(SCM)、SAP CRM (Java Stack)、SAP企业门户、SAP人力资源门户、SAP解决方案管理(SolMan) 7.2、SAP景观管理(SAP LaMa)、SAP流程集成/编排(SAP PI/PO)、SAP供应商关系。

注:本文由E安全编译报道,转载请注原文地址

https://www.easyaq.com



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://new.qq.com/omn/20201229/20201229A02JHF00.html

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部