重大漏洞頻傳。SAP本周三公告將修補一個位於NetWeaver AS Java 中一項元件的重大安全漏洞,該漏洞可能讓駭客入侵SAP竊取或篡改財務、客戶及供應商資訊或員工個資,風險評分來到最高分的10分。

這項漏洞由安全廠商Onapsis發現並通報SAP。它出在NetWeaver AS Java中的LM組態精靈(configuration wizard)對外部連線驗證不足,可讓攻擊者藉由建立惡意HTTP連線開採,進而接管整個SAP系統。安全公司將該漏洞命名為RECON(Remotely Exploitable Code On NetWeaver)。

一旦攻擊者成功開採,未授權攻擊者將可取得SAP系統的完整控制權。他能建立最高權限的SAP用戶帳號、繞過所有存取控管,如權責分工、身份管理或治理/風險/遵法(GRC),而得以修改財務資訊、竊取員工個資、或供應商、客戶資訊,還能毁損資料、刪改存取log及種種行為。

RECON漏洞影響所有跑在SAP NetWeaver Java層上的所有應用,包括SAP ERP、Enterprise Portal、SCM、CRM、Process Integration(PI)、及SAP Solution Manager,全球受波及的企業超過4萬家。

SAP已在本周稍早釋出修補程式及安全公告。SAP目前尚未觀測到有攻擊漏洞的情形發生,但基於RECON的風險,呼籲企業用戶應儘速安裝修補程式。

美國國土安全部網路安全及基礎架構安全署(CISA)周三建議,若企業未能在24小時內修補漏洞,應密切監控NetWeaver AS上的異常活動跡象。


Advertisement

更多 iThome相關內容