致命漏洞使黑客轻易攻破SAP系统
E安全12月29日讯 近期,据研究报告建议,SAP用户应立即部署一个针对严重漏洞的新发布补丁,该漏洞可能允许黑客破坏其系统和其中包含的数据。该漏洞存在于大多数SAP部署中默认存在的核心组件中,无需用户名和密码即可进行远程利用。
安全公司Onapsis的研究人员发现并报告了这个漏洞,他们估计全球有4万SAP客户可能受到影响。超过2500个易受攻击的SAP系统直接暴露在internet上,它们面临被黑客攻击的更高风险,但是能够访问本地网络的攻击者可能会危及其他部署。
该漏洞被追踪为CVE-2020-6287,位于SAP NetWeaver应用服务器Java中,这是大多数SAP企业应用程序的底层软件堆栈。NetWeaver Java的7.30到7.50版本受到影响——包括最新版本——以及SAP发布的所有支持包(SPs)。
这个漏洞,也被称为RECON (NetWeaver上的远程可利用代码),在常见漏洞评分系统(CVSS)中有最高的可能的严重等级(10),因为它可以在没有身份验证的情况下通过HTTP被利用,并可以导致系统的完全妥协。该漏洞允许攻击者创建一个具有管理角色的新用户,绕过现有的访问控制和职责分离。
Onapsis在一份通知中警告说:“拥有对系统的管理权限将允许攻击者管理(读取/修改/删除)系统中的每条数据库记录或文件。” “由于攻击者利用未修补的系统可以获得不受限制的访问类型,这个漏洞也可能构成企业IT控制的监管要求的缺陷——潜在地影响财务(萨班斯-奥克斯利法案)和隐私(GDPR)遵从性。”
该漏洞使组织容易受到各种类型的攻击。黑客可以利用它窃取员工、客户和供应商的个人身份信息(PII);阅读、修改、删除财务记录;更改银行细节以转移付款和修改采购流程;腐败的数据;或中断系统的运行,由于业务停机造成财务损失。该漏洞还允许攻击者通过删除日志和使用SAP应用程序的特权在操作系统上执行命令来隐藏他们的踪迹。
受影响的SAP应用包括SAP S/4HANA Java、SAP企业资源规划(ERP)、SAP供应链管理(SCM)、SAP CRM (Java Stack)、SAP企业门户、SAP人力资源门户、SAP解决方案管理(SolMan) 7.2、SAP景观管理(SAP LaMa)、SAP流程集成/编排(SAP PI/PO)、SAP供应商关系。
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com