美國網路安全暨基礎架構管理署(CISA)周二(2/8)呼籲,SAP用戶應該儘速修補該公司於本月修補的重大漏洞。

在微軟帶動每個月第二個周二的修補風潮之後,有許多企業都選擇在同一天進行修補,事實上,CISA在本周二的修補提醒並不僅限於SAP,還包括微軟MozillaCitrixAdobe,只是坊間絕大多數的修補訊息都圍繞在微軟。

身為全球企業資源管理龍頭,SAP在8日修補了逾20個安全漏洞,當中就有8個漏洞的CVSS風險評分高達10。由於許多組織都採用SAP軟體來進行企業資源規畫、產品生命周期管理、客戶關係管理或供應鏈管理等重要功能,而相關漏洞則可能引發資料外洩、金融詐欺、破壞重要商業程序,甚至是造成勒索軟體攻擊及營運中斷等,促使CISA提出警告。

當中有3個安全漏洞是由資安業者Onapsis Research Labs所提報,這3個漏洞全都涉及許多SAP軟體所採用的網路通訊管理(Internet Communication Manager,ICM)元件,它們是CVE-2022-22536、CVE-2022-22532與CVE-2022-22533,其CVSS風險評分分別為10、8.1與7.5。

Onapsis表示,該公司與SAP都建議用戶應該優先修補CVE-2022-22536及CVE-2022-22532,因為這兩個漏洞一旦被成功開採,駭客就能針對SAP的客戶或軟體程序進行惡意程式攻擊,進而危害相關的SAP軟體,且大多數的SAP軟體都含有ICM。

Onapsis亦釋出了開源工具,以供SAP用戶檢查系統上是否含有CVE-2022-22536漏洞。


熱門新聞

Advertisement