示意圖,與新聞事件無關。

安全公司Digital Shadows及Onapsis周三公佈安全研究報告,顯示全球兩大ERP產品SAP及Oracle不論在漏洞數量及攻擊程式都較往年大為增加,成為駭客下手的理想目標。

這項報告特別鎖定全球市佔率最大的SAP及Oracle E-Business Suite(EBS)。根據報告,10年來,SAP和甲骨文Oracle EBS安全漏洞及修補程式大量增加,截自目前,SAP和Oracle EBS應用系統(不只是ERP)的CVE修補程式各已超過4000和850個。

研究人員指出,許多ERP已知漏洞因為企業未能及時修補,加上攻擊工具可以在地下論壇、暗網或專門網站上交易,導致企業曝險。研究人員分析單一攻擊工具網站,就看到將近50個SAP和30個Oracle EBS相關攻擊套件可公開取得,而且十年來快速增加。從地下論壇、暗網、犯罪網站、社交網站討論這兩大ERP系統的攻擊工具及漏洞的討論數量大增的趨勢來看,壞蛋顯然對兩家公司的產品愈來愈有興趣。

運用Google或IoT/裝置搜尋引擎如Shodan、Censys即可偵測到能公開由網際網路存取的ERP系統。光是美國就有超過3,000個可由網際網路存取的ERP服務。此外,企業員工或外包商也可能洩露SAP或Oracle ERP的技術資訊,例如研究人員從雲端系統Trello找到SAP用戶登入資訊,或從連網FTP及SMB服務收集到企業內網資訊。

研究人員指出,包含大量財務、商業流程、製造物料及客戶資料等重要資訊的ERP系統吸引了駭客組織、犯罪集團甚至國家政府的興趣,他們無所不用其極尋找並利用這些系統的漏洞,再以DoS、DDoS、銀行木馬或APT等工具入侵,例如Onapsis研究人員發現其研究樣本中,超過25%都存在Invoker Servlet漏洞。雪上加霜的是,企業用戶的安全習慣不佳,像是使用預設密碼,也為駭客開了方便之門。

因應這項報告,美國國土安全部周三也發出安全警告,呼籲美國企業強化ERP應用系統安全。

本周稍早 McAfee安全研究也發現數個販售RDP(remote desktop protocol)協定未設訪的裝置的暗網市集。其中有的市集只要10美元就可以買到這些門戶洞開的系統名單,駭客不用撰寫複雜的零時差攻擊程式就能長驅直入。


Advertisement

更多 iThome相關內容